Uređaji

RAZOTKRIVEN: Popularni program krišom krade i rudari kriptovalute

Nova AZORult kampanja zloupotrebljava popularnu VPN uslugu radi krađe kriptovaluta.

Izvor: MONDO / Kaspersky

Istraživači kompanije Kaspersky otkrili su neobičnu zlonamernu kampanju, koja koristi fišing kopiju veb-sajta popularnog VPN servisa za širenje AZORult-a, trojanskog kradljivca, pod maskom instalacionog programa za Windows.

Kampanja, koja je započeta krajem novembra 2019. registracijom lažne veb-stranice, trenutno je aktivna i fokusirana na krađu ličnih podataka i kriptovaluta od zaraženih korisnika.

To pokazuje da sajber kriminalci i dalje love kriptovalute, uprkos izveštajima, koji pokazuju da je zainteresovanost za valute opala.

AZORult je jedan od najčešće kupljenih i prodavanih kradljivaca na ruskim forumima zbog širokog spektra mogućnosti. Ovaj trojanac predstavlja ozbiljnu pretnju onima, čiji su računari zaraženi, jer je u stanju da prikuplja razne podatke, uključujući istoriju pregledača interneta, lične podatke za prijavu, kolačiće, datoteke iz foldera, datoteke kripto-novčanika, a može se koristiti i za preuzimanje drugog malvera.

U svetu u kom se za privatnost vodi velika borba, VPN usluge igraju važnu ulogu omogućavajući dodatnu zaštitu podataka i bezbedno surfovanje internetom.

Ipak, sajber kriminalci pokušavaju da zloupotrebe rastuću popularnost VPN-a lažnim predstavljanjem, kao što je slučaj u ovoj AZORult kampanji. U poslednjoj kampanji napadači su kreirali kopiju veb-sajta VPN usluge, koja izgleda potpuno isto kao original, a jedina razlika je drugačije ime domena.

Linkovi ka domenu se šire reklamama putem različitih mreža banera, što se takođe naziva i malvertizacijom. Žrtva posećuje fišing veb-sajt i od nje se traži da preuzme besplatni instalacioni program za VPN. Nakon što žrtva preuzme lažni VPN za Windows, on ispušta kopiju AZORult botnet implanta. Čim je implant pokrenut, on sakuplja informacije o okruženju inficiranog uređaja i izveštava ih na server. Konačno, napadač krade kriptovalute iz lokalno dostupnih novčanika (Electrum, Bitcoin, Etherium i drugi), FTP prijave i lozinke iz FileZilla, kredencijale za i-mejl, informacije lokalno instaliranih pretraživača (uključujući kolačiće), kredencijale WinSCP, Pidgin mesindžera i drugih.

Kako biste umanjili rizik od infekcije trojancima, kao što jeAZORult, preporučujemo:

  • Proverite autentičnost veb-sajta. Ne posećujte veb-stranice dok se ne uverite da su legitimne i započinju sa „https“. Pre nego što počnete sa preuzimanjem, potvrdite da je veb-sajt legitiman, dvostrukom proverom formata URL-a ili pravopisa imena kompanije, čitanjem recenzija i proverom podataka o registraciji domena
  • Čuvajte kriptovalute u cold novčanicima (onima koji nisu povezani na internet) kako biste umanjili rizik od krađe
  • Pokušajte da čuvate lozinke i druge lične podatke, uključujući privatan ključ novčanika, u menadžeru lozinki – kao što je Password Manager.
  • Koristite pouzdano bezbednosno rešenje kao što je Kaspersky Security Cloud, koje štiti uređaje od širokog spektra pretnji, uključujući i fišing aktivnosti.