Para peneliti di Kaspersky telah menemukan kampanye jahat baru yang menggunakan versi palsu dari situs web layanan VPN populer untuk menyebarkan pencuri Trojan AZORult dengan mengelabui pengguna agar mengira mereka mengunduh penginstal Windows.
AZORult adalah salah satu pencuri paling umum di forum peretasan Rusia karena kemampuannya yang luas. Trojan ini menimbulkan ancaman serius bagi komputer yang terinfeksi karena memungkinkan penyerang mengumpulkan banyak data termasuk riwayat browser, kredensial login, cookie, file dan folder, file cryptowallet dan bahkan dapat digunakan sebagai loader untuk mengunduh malware lainnya.
Karena semakin banyak pengguna beralih ke VPN untuk melindungi privasi online mereka, penjahat dunia maya mulai menyalahgunakan popularitas VPN yang semakin meningkat dengan menyamar sebagai mereka, seperti yang terjadi dalam kampanye AZORult ini.
Dalam kampanye yang ditemukan oleh para peneliti Kaspersky, penyerang membuat salinan situs web ProtonVPN yang terlihat identik dengan situs sebenarnya dari layanan tersebut kecuali fakta bahwa nama domainnya berbeda.
Kampanye AZORult
Tautan ke situs web VPN palsu disebarkan melalui iklan melalui berbagai jaringan spanduk yang merupakan praktik yang juga disebut sebagai malvertising.
Saat korban mengunjungi situs web phishing, mereka diminta mengunduh penginstal VPN gratis. Namun, begitu korban mengunduh penginstal VPN palsu untuk Windows, ia menjatuhkan salinan implan botnet AZORult. Setelah implan diaktifkan, ia mengumpulkan informasi lingkungan perangkat yang terinfeksi dan melaporkannya kembali ke server yang dikendalikan oleh penyerang.
Penyerang kemudian mencuri cryptocurrency apa pun yang disimpan secara lokal di perangkat dari cryptowallets serta login FTP, kata sandi dari FileZilla, kredensial email, informasi dari browser termasuk cookie dan kredensial dari WinSCPm, Pidgin messenger, dan perangkat lunak lainnya.
Setelah menemukan kampanye tersebut, Kaspersky segera memberi tahu ProtonVPN (terbuka di tab baru) dan memblokir situs web palsu dalam perangkat lunak keamanannya.
Pendiri dan CEO ProtonVPN, kata Andy Yen TechRadar Pro bagaimana perusahaan bekerja untuk membatasi dampak kampanye dalam sebuah pernyataan, dengan mengatakan:
“Ini menggarisbawahi pentingnya untuk tidak pernah mengunduh aplikasi dari sumber tidak resmi. Sebelum mengunduh aplikasi, pengguna harus selalu memeriksa ulang alamat situs web, nama aplikasi, dan pengembang aplikasi untuk memastikan keasliannya. Dalam hal ini tampaknya aplikasi palsu tersebut dirancang untuk mencuri informasi pengguna, khususnya data mengenai mata uang kripto. Kaspersky memblokir situs web palsu tersebut dan memberi tahu kami tentang masalah tersebut segera setelah mereka menemukan malware tersebut. Kami segera meminta penghapusan domain untuk membatasi dampak kampanye. Kami juga telah menerbitkan panduan (terbuka di tab baru) tentang apa yang harus dilakukan jika Anda tidak sengaja mengunduh versi palsu dari aplikasi kami.”
- Lihat juga daftar lengkap layanan VPN terbaik kami