Cyberprzestępcy wykorzystują wizerunek usługi VPN do kradzieży danych i kryptowaluty
Badacze z firmy Kaspersky wykryli nietypową szkodliwą cyberprzestępczą AZORult.
Wykorzystywana jest w niej phishingowa kopia strony internetowej popularnej usługi VPN w celu rozprzestrzeniania kradnącego dane trojana AZORult pod przykrywką instalatorów dla systemu Windows. Kampania, która rozpoczęła się pod koniec listopada 2019 r. od rejestracji fałszywej strony internetowej, jest obecnie aktywna oraz koncentruje się na wykradaniu informacji osobowych oraz kryptowaluty.
Ze względu na swój szeroki zakres możliwości trojan AZORult jest powszechnie kupowany i sprzedawany na rosyjskich cyberprzestępczych. Szkodnik ten stanowi poważne zagrożenie dla osób, których komputery zostały zainfekowane, ponieważ potrafi gromadzić różne informacje, w tym historię przeglądanych stron, dane uwierzytelniające logowanie, ciasteczka, pliki z folderów, pliki kryptoportfeli. Trojan może także zostać wykorzystany do pobierania dalszych szkodliwych narzędzi.
W świecie, w którym prywatność jest czymś, o co należy walczyć, usługi VPN odgrywają istotną rolę, umożliwiając dodatkową ochronę danych oraz bezpieczne logowanie się do zasobów online. Rosnącą popularność usług VPN próbują wykorzystać – poprzez podszywanie się pod nie – cyberprzestępcy stojący za kampanią AZORult. W jej ramach atakujący stworzyli kopię strony internetowej usługi VPN, która do złudzenia przypomina oryginał, od którego różni się jedynie nazwą domeny.
Odsyłacze do domeny są rozprzestrzeniane poprzez reklamy za pośrednictwem różnych sieci banerów (tzw. „malvertizing”). Potencjalna ofiara odwiedza stronę phishingową, na której zostaje nakłoniona do pobrania darmowego instalatora usługi VPN. Rezultatem instalacji fałszywej aplikacji VPN jest dodanie do systemu trojana AZORult. Po uruchomieniu szkodnik gromadzi informacje o środowisku zainfekowanego urządzenia oraz przesyła je do serwera. Na koniec cyberprzestępcy kradną kryptowalutę z dostępnych lokalnie portfeli (Electrum, Bitcoin, Etherium oraz innych), loginy oraz hasła z aplikacji FileZilla, dane uwierzytelniające konta e-mail, informacje z lokalnie zainstalowanych przeglądarek (w tym ciasteczka), dane uwierzytelniające z WinSCP, komunikatora Pidgin oraz inne informacje.
Po wykryciu kampanii wykorzystującej omawianą usługę VPN firma Kaspersky niezwłocznie poinformowała odpowiednie osoby o problemie i zablokowała fałszywą stronę internetową.
Kampania jest doskonałym przykładem, który pokazuje, jak bardzo podatne na zagrożenia są obecnie nasze dane osobowe. Aby je chronić, użytkownicy muszą zachować rozwagę i być szczególnie ostrożni podczas korzystania z internetu. Opisana kampania uświadamia również, dlaczego potrzebujemy na każdym urządzeniu rozwiązań cyberbezpieczeństwa. Jeśli chodzi o phishingowe kopie stron internetowych, użytkownicy mają duże problemy z odróżnieniem wersji prawdziwej od fałszywej. Cyberprzestępcy często żerują na popularnych markach i jest to trend, który prawdopodobnie nie osłabnie – powiedział Dmitrij Bestużew, dyrektor Globalnego Zespołu ds. Badań i Analiz firmy Kaspersky w Ameryce Łacińskiej.
Produkty firmy Kaspersky wykrywają omawiane zagrożenie jako HEUR:Trojan-PSW.Win32.Azorult.gen.
Szczegóły techniczne dot. kampanii AZORult są dostępne na stronie https://r.kaspersky.pl/DJ8bR.
Porady bezpieczeństwa
Firma Kaspersky zaleca użytkownikom następujące działania pozwalające zmniejszyć ryzyko zainfekowania urządzenia trojanami kradnącymi dane oraz kryptowalutę:
· Sprawdzaj autentyczność stron internetowych. Nie odwiedzaj stron, jeśli nie masz pewności, czy są prawdziwe i bezpieczne (adres strony powinien rozpoczynać się od „https”. Przed rozpoczęciem pobierania jakiegokolwiek pliku zweryfikuj prawdziwość strony internetowej, dwukrotnie sprawdzając format adresu URL lub pisownię nazwy firmy, czytając recenzje na jej temat oraz sprawdzając dane dotyczące rejestracji domeny.
· W celu zminimalizowania ryzyka kradzieży środków przechowuj kryptowaluty w portfelach, które nie są połączone z internetem (tzw. „cold wallet”).
· Postaraj się przechowywać swoje hasła oraz inne prywatne informacje, w tym prywatny klucz portfela, w bezpiecznym miejscu. Możesz użyć do tego celu menedżera haseł, takiego jak Kaspersky Password Manager. Aplikacja ta bezpiecznie przechowuje dane w zaszyfrowanym prywatnym magazynie.
· Stosuj niezawodne rozwiązanie bezpieczeństwa, takie jak Kaspersky Total Security, które chroni urządzenia przed szerokim wachlarzem zagrożeń, łącznie z aktywnością phishingową.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.
Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.