注意:偽のProtonVPNインストーラーがAZORultトロイの木馬のインストールをリード

以前、AZORult Malwareは、ランサムウェア、データ、および暗号通貨を盗むマルウェアを広めるために使用される大規模な悪意のあるキャンペーンの一環としてデバイスに登場しました。これは、ファイル、パスワード、Cookie、ブラウザ履歴、銀行の認証情報、暗号通貨ウォレットなどから機密情報を収集するように特に設計されたトロイの木馬ウイルスです。

カスペルスキーの研究者は、AZORultマルウェアの拡散に使用される新しい配布方法を検出しました。彼らが気づいたのは、悪意のある偽のProtonVPNインストーラーを配信するために使用されるプロトンvpn.storeという名前のサイトです。このサイトをユーザーがVPNのインストールに使用すると、AZORultボットネットのコピーがデバイスに埋め込まれます。

「被害者が偽造Webサイトにアクセスし、Windows用の偽のProtonVPNインストーラーをダウンロードすると、AZORultボットネットインプラントのコピーを受け取ります。」

攻撃者は、オープンソースのHTTrack WebクローラーとWebサイトダウンローダーユーティリティを使用して、ProtonVPNの公式Webサイトの同一のコピーを作成しました。 ProtonVPN_win_v1.10.0.exeという名前の偽の実行可能ファイルが感染したデバイスで正常に起動すると、マルウェアはシステム情報を収集し、サイト名accounts.protonvpn.storeと同じサーバーにあるコマンドアンドコントロールサーバーに配信できるようになります。 。

その後、トロイの木馬は「ローカルで利用可能なウォレット(Electrum、Bitcoin、Etheiumなど)、FileZillaからのFTPログインとパスワード、電子メール認証情報、ローカルにインストールされたブラウザーからの情報(Cookieを含む)、WinSCPの認証情報、Pidginメッセンジャーから暗号通貨を盗むために進みますその他。”

偽のVPNサイトを使用してマルウェアペイロードをプッシュするのはこれが初めてではありません。以前は、NordVPNサービスの公式Webサイトの完全なクローンが銀行トロイの木馬の配信に使用され、偽のVPN Pirate Chick VPNがAZORultのパスワードを盗むトロイの木馬に使用され、偽のVPNもVidarおよびcryptBotのパスワードを盗むトロイの木馬に使用されました。