Cuidado: o Fake ProtonVPN Installer leva a instalação do AZORult Trojan
Anteriormente, o AZORult Malware chegou a um dispositivo como parte de campanhas maliciosas de larga escala usadas para espalhar ransomware, dados e criptomoedas roubando malware. Este é um vírus Trojan, projetado especialmente para coletar informações confidenciais de arquivos, senhas, cookies e histórico do navegador, credenciais bancárias, carteiras de moedas criptografadas e assim por diante.
Os pesquisadores da Kaspersky detectaram uma nova forma de distribuição usada para a disseminação do AZORult Malware. O que eles notaram é que um site chamado protonvpn.store é usado para fornecer instaladores falsos maliciosos do ProtonVPN. Quando este site é usado pelos usuários para a instalação da VPN, leva à implantação de uma cópia da botnet AZORult no dispositivo.
“Quando a vítima visita um site falsificado e baixa um instalador falso do ProtonVPN para Windows, recebe uma cópia do implante de botnet AZORult”,
Os invasores criaram uma cópia idêntica do site oficial do ProtonVPN usando o rastreador da web de código aberto HTTrack e o utilitário de download de sites. Depois que o falso executável chamado ProtonVPN_win_v1.10.0.exe é iniciado com êxito no dispositivo infectado, o malware consegue coletar as informações do sistema e entregá-las ao servidor de comando e controle localizado no mesmo servidor que o nome do site accounts.protonvpn.store .
Posteriormente, o Trojan passa a “roubar criptomoedas de carteiras disponíveis localmente (Electrum, Bitcoin, Etherium etc.), logins e senhas de FTP do FileZilla, credenciais de email, informações de navegadores instalados localmente (incluindo cookies), credenciais para WinSCP, Pidgin messenger e outros.”
Não é a primeira vez que sites de VPN falsos são usados para enviar a carga útil de malware. Anteriormente, um clone perfeito do site oficial do serviço NordVPN foi usado para a entrega de um Trojan bancário, uma VPN pirata Chick VPN falsa foi usada para o Trojan de roubo de senha do AZORult, e uma VPN falsa também foi usada para o Trojan de roubo de senha Vidar e cryptBot.