A Kaspersky kutatói egy szokatlan rosszindulatú akciót fedeztek fel, amelynek lényege, hogy a támadók egy népszerű VPN-szolgáltatás, a ProtonVPN webhelyének adathalász másolata segítségével, Windows-telepítők álcája alatt terjesztik az AZORult adatlopó trójai vírust. A fenyegetésben a magyar felhasználók is egyre nagyobb mértékben érintettek.
2019 novemberében egy hamis weboldal regisztrációjával indult akció jelenleg is aktív, és arra irányul, hogy személyes adatokat és kriptodevizát lopjanak a fertőzött felhasználóktól. Ez azt is mutatja, hogy a kiberbűnözők még mindig vadásznak a kriptodevizákra, annak ellenére, hogy egyes jelentések szerint a fizetőeszköz iránti érdeklődés alábbhagyott. Az akció elindulása óta havi szinten 150-300 magyar felhasználó eszközeit támadják az AZORult vírussal. A Kaspersky kutatói a legmagasabb számot januárban mérték, amikor az egy felhasználói eszközre eső támadások száma meghaladta a 750-et.
Nem minden VPN, ami fénylik
Az AZORult egyike az orosz fórumokon legnagyobb adásvételi forgalmat bonyolító adatlopó vírusoknak. Népszerűsége annak köszönhető, hogy lehetőségek széles körét rejti. Ez a trójai vírus komoly fenyegetést jelent azokra, akiknek a számítógépe megfertőződött,
mivel képes a különféle adatok - többek között a böngészési előzmények, a bejelentkezési hitelesítési adatok, a cookie-k, a mappákban tárolt fájlok, a kriptopénztárca-fájlok - begyűjtésére, ráadásul betöltőként is használható más malware-ek letöltéséhez.
Napjainkban, amikor keményen küzdünk a személyes adatok védelméért, fontos szerep jut a VPN-szolgáltatásoknak, mivel további adatvédelmet biztosítanak, és biztonságos internetes böngészést tesznek lehetővé. A kiberbűnözők mégis megpróbálnak visszaélni a VPN-szolgáltatások növekvő népszerűségével, mégpedig úgy, hogy leutánozzák őket, mint ahogy ez az AZORult kampány esetében is történik.
A legfrissebb kampányban a támadók elkészítették egy VPN-szolgáltatás weboldalának másolatát, ami pontosan úgy néz ki, mint az eredeti oldal, azzal az egyetlen eltéréssel, hogy más a tartományneve.
A tartományra mutató hivatkozásokat hirdetésekben terjesztik különféle banner-hálózatokon keresztül. Ez a gyakorlat egyébként a "malvertizing" (malware-rel fertőzött online hirdetések) néven is ismert. Az áldozat felkeresi az adathalász weboldalt, ahol arra kérik, hogy töltsön le egy ingyenes VPN-telepítőt. Miután letöltötte a hamis VPN-telepítőt a Windowshoz, az egy AZORult botnet-szoftvert helyez el a gépén. Amikor a szoftver futni kezd, begyűjti a fertőzött eszköz környezeti adatait, és jelenti azokat a szerver felé.
A támadó végül kriptodevizát lop a helyileg elérhető pénztárcákból (Electrum, Bitcoin, Etherium és egyebek), továbbá ellophatja még a következőket is: az FTP bejelentkezési adatokat és a jelszavakat a FileZilla alkalmazásból, az e-mail hitelesítési adatokat, különféle adatokat a helyileg telepített böngészőkből (a cookie-kat is), hitelesítési adatokat a WinSCP-ből és a Pidgin üzenetküldő alkalmazásból, és más egyebeket. A kampány felfedezésekor a Kaspersky azonnal értesítette az érintett VPN-szolgáltatás üzemeltetőit a problémáról, és blokkolta a hamis weboldalt.
Ne mondjunk le a VPN-ről, de legyünk résen!
"A kampány jó példája annak, hogy mennyire sérülékenyek a személyes adataink manapság. Az adatok védelme érdekében a felhasználóknak óvatosnak kell lenniük, és különösen nagy gondossággal kell eljárniuk az online szörfözéskor. Az eset arra is rámutat, hogy miért kell minden eszközt kiberbiztonsági megoldásokkal védeni. A weboldalak adathalász másolatai esetén a felhasználónak nagyon nehéz különbséget tennie az igazi és a hamis változat között. A kiberbűnözők gyakran kihasználják a népszerű márkákat, és ez a trend várhatóan nem fog egyhamar kifutni" - fejtette ki Dmitrij Besztuzsev, a Kaspersky globális kutató és elemző szervezete latin-amerikai részlegének igazgatója.
Erősen ajánljuk a VPN használatát a webes adatcsere védelméhez, de arra is nagyon oda kell figyelni, hogy honnan töltjük le a VPN-szoftvert."
A trójai adatlopó vírusok okozta fertőzés kockázatának csökkentésére a Kaspersky a következőket javasolja a felhasználóknak:
- Ellenőrizze a weboldal hitelességét! Ne keressen fel weboldalakat, ha nem biztos abban, hogy legálisak, és figyeljen arra, hogy a címük "https"-sel kezdődjön. Győződjön meg a weboldal valódiságáról: a letöltés megkezdése előtt kétszer is ellenőrizze az URL formátumát vagy a vállalat nevének helyesírását, olvasson véleményeket róla, vagy ellenőrizze a tartomány regisztrációs adatait!
- A kriptodevizákat úgynevezett "hideg pénztárcákban" tárolja (amelyek nem kapcsolódnak az internetre), hogy minimálisra csökkentse a lopás kockázatát!
- A jelszavait és más személyes adatait (többek között a pénztárca privát kulcsát) lehetőleg egy jelszókezelőben tárolja.
- Használjon megbízható biztonsági megoldást!
(Kiemelt kép: GettyImages)