当心:假ProtonVPN安装程序导致AZORult木马安装
早些时候,AZORult Malware出现在设备中,是大规模恶意活动的一部分,该活动用于传播勒索软件,数据和窃取加密货币的恶意软件。这是一种特洛伊木马病毒,专门设计用于从文件,密码,Cookie和浏览器历史记录,银行凭证,加密货币钱包等收集敏感信息。
卡巴斯基的研究人员发现了一种用于AZORult恶意软件传播的新发行方式。他们注意到一个名为protonvpn.store的站点,该站点用于提供恶意的伪造ProtonVPN安装程序。用户使用此站点进行VPN安装时,会将AZORult僵尸网络的副本植入其设备。
“当受害者访问假冒网站并下载适用于Windows的假冒ProtonVPN安装程序时,他们会收到AZORult僵尸网络植入物的副本,”
攻击者使用开源HTTrack网络爬虫和网站下载器实用程序创建了ProtonVPN官方网站的相同副本。在受感染的设备上成功启动名为ProtonVPN_win_v1.10.0.exe的伪可执行文件后,恶意软件便能够收集系统信息并将其传递给与站点名称accounts.protonvpn.store相同的服务器上的命令和控制服务器。 。
此后,特洛伊木马程序继续“从本地可用的钱包(Electrum,比特币,Etherium等)中窃取加密货币,FileZilla的FTP登录名和密码,电子邮件凭据,本地安装的浏览器中的信息(包括cookie),WinSCP的凭据,Pidgin Messenger”和别的。”
这不是第一次使用伪造的VPN站点来推送恶意软件有效负载。以前,使用了NordVPN服务官方网站的完美克隆来提供银行木马,使用了伪造的VPN Pirate Chick VPN来伪造AZORult密码,并使用了伪造的VPN来伪造Vidar和cryptBot密码。