A Kaspersky kutatói egy szokatlan rosszindulatú akciót fedeztek fel, amelynek lényege, hogy a támadók egy népszerű VPN-szolgáltatás, a ProtonVPN webhelyének adathalász másolata segítségével, Windows-telepítők álcája alatt terjesztik az AZORult adatlopó trójai vírust. A fenyegetésben a magyar felhasználók is egyre nagyobb mértékben érintettek.

2019 novemberében egy hamis weboldal regisztrációjával indult akció jelenleg is aktív, és arra irányul, hogy személyes adatokat és kriptodevizát lopjanak a fertőzött felhasználóktól. Ez azt is mutatja, hogy a kiberbűnözők még mindig vadásznak a kriptodevizákra, annak ellenére, hogy egyes jelentések szerint a fizetőeszköz iránti érdeklődés alábbhagyott. Az akció elindulása óta havi szinten 150-300 magyar felhasználó eszközeit támadják az AZORult vírussal. A Kaspersky kutatói a legmagasabb számot januárban mérték, amikor az egy felhasználói eszközre eső támadások száma meghaladta a 750-et.

Nem minden VPN, ami fénylik

Az AZORult egyike az orosz fórumokon legnagyobb adásvételi forgalmat bonyolító adatlopó vírusoknak. Népszerűsége annak köszönhető, hogy lehetőségek széles körét rejti. Ez a trójai vírus komoly fenyegetést jelent azokra, akiknek a számítógépe megfertőződött,

mivel képes a különféle adatok - többek között a böngészési előzmények, a bejelentkezési hitelesítési adatok, a cookie-k, a mappákban tárolt fájlok, a kriptopénztárca-fájlok - begyűjtésére, ráadásul betöltőként is használható más malware-ek letöltéséhez.

Napjainkban, amikor keményen küzdünk a személyes adatok védelméért, fontos szerep jut a VPN-szolgáltatásoknak, mivel további adatvédelmet biztosítanak, és biztonságos internetes böngészést tesznek lehetővé. A kiberbűnözők mégis megpróbálnak visszaélni a VPN-szolgáltatások növekvő népszerűségével, mégpedig úgy, hogy leutánozzák őket, mint ahogy ez az AZORult kampány esetében is történik.

A legfrissebb kampányban a támadók elkészítették egy VPN-szolgáltatás weboldalának másolatát, ami pontosan úgy néz ki, mint az eredeti oldal, azzal az egyetlen eltéréssel, hogy más a tartományneve.

Forrás: Kaspersky

A tartományra mutató hivatkozásokat hirdetésekben terjesztik különféle banner-hálózatokon keresztül. Ez a gyakorlat egyébként a "malvertizing" (malware-rel fertőzött online hirdetések) néven is ismert. Az áldozat felkeresi az adathalász weboldalt, ahol arra kérik, hogy töltsön le egy ingyenes VPN-telepítőt. Miután letöltötte a hamis VPN-telepítőt a Windowshoz, az egy AZORult botnet-szoftvert helyez el a gépén. Amikor a szoftver futni kezd, begyűjti a fertőzött eszköz környezeti adatait, és jelenti azokat a szerver felé.

A támadó végül kriptodevizát lop a helyileg elérhető pénztárcákból (Electrum, Bitcoin, Etherium és egyebek), továbbá ellophatja még a következőket is: az FTP bejelentkezési adatokat és a jelszavakat a FileZilla alkalmazásból, az e-mail hitelesítési adatokat, különféle adatokat a helyileg telepített böngészőkből (a cookie-kat is), hitelesítési adatokat a WinSCP-ből és a Pidgin üzenetküldő alkalmazásból, és más egyebeket. A kampány felfedezésekor a Kaspersky azonnal értesítette az érintett VPN-szolgáltatás üzemeltetőit a problémáról, és blokkolta a hamis weboldalt.

Ne mondjunk le a VPN-ről, de legyünk résen!

"A kampány jó példája annak, hogy mennyire sérülékenyek a személyes adataink manapság. Az adatok védelme érdekében a felhasználóknak óvatosnak kell lenniük, és különösen nagy gondossággal kell eljárniuk az online szörfözéskor. Az eset arra is rámutat, hogy miért kell minden eszközt kiberbiztonsági megoldásokkal védeni. A weboldalak adathalász másolatai esetén a felhasználónak nagyon nehéz különbséget tennie az igazi és a hamis változat között. A kiberbűnözők gyakran kihasználják a népszerű márkákat, és ez a trend várhatóan nem fog egyhamar kifutni" - fejtette ki Dmitrij Besztuzsev, a Kaspersky globális kutató és elemző szervezete latin-amerikai részlegének igazgatója.

Erősen ajánljuk a VPN használatát a webes adatcsere védelméhez, de arra is nagyon oda kell figyelni, hogy honnan töltjük le a VPN-szoftvert."

A trójai adatlopó vírusok okozta fertőzés kockázatának csökkentésére a Kaspersky a következőket javasolja a felhasználóknak:

  • Ellenőrizze a weboldal hitelességét! Ne keressen fel weboldalakat, ha nem biztos abban, hogy legálisak, és figyeljen arra, hogy a címük "https"-sel kezdődjön. Győződjön meg a weboldal valódiságáról: a letöltés megkezdése előtt kétszer is ellenőrizze az URL formátumát vagy a vállalat nevének helyesírását, olvasson véleményeket róla, vagy ellenőrizze a tartomány regisztrációs adatait!
  • A kriptodevizákat úgynevezett "hideg pénztárcákban" tárolja (amelyek nem kapcsolódnak az internetre), hogy minimálisra csökkentse a lopás kockázatát!
  • A jelszavait és más személyes adatait (többek között a pénztárca privát kulcsát) lehetőleg egy jelszókezelőben tárolja.
  • Használjon megbízható biztonsági megoldást!

(Kiemelt kép: GettyImages)


ÉRTÉKELD A MUNKÁNKAT EGY LÁJKKAL, ÉS OSZD MEG MÁSOKKAL IS! KÖSZÖNJÜK!