El troyano AZORult vuelve con una campaña de robo de criptomonedas

  • Endpoint

Los atacantes crearon una copia del sitio web de un popular servicio VPN para propagar el malware bajo la apariencia de instaladores para Windows. Esta campaña demuestra que los ciberdelincuentes siguen buscando criptomonedas, a pesar de que el interés ha disminuido.

Los investigadores de Kaspersky han detectado una campaña maliciosa inusual que utiliza una copia de un sitio web de un servicio VPN popular para difundir el troyano AZORult bajo la apariencia de instaladores para Windows. La campaña, que comenzó en noviembre de 2019 con el registro de la web de phishing, actualmente está activa y centrada en robar información personal y criptomonedas de usuarios infectados.

Recomendados: 

Informe IT Trends: 2020, el año de la consolidación digital Leer

Ciberseguridad en 2020, ¿qué podemos esperar? Registro

Tendencias TI 2020, visionando el futuro. Webinar ondemand.

AZORult es uno de los ladrones más comprados y vendidos en los foros rusos debido a su amplia gama de capacidades. Este troyano representa una seria amenaza para aquellos cuyos PC pueden haber sido infectados, ya que es capaz de recopilar diversos datos, incluido el historial del navegador, credenciales de inicio de sesión, cookies, archivos de carpetas, archivos de criptobilleteras y también se puede usar para descargar otro malware.

En esta nueva campaña, los ciberdelincuentes intentan abusar de la creciente popularidad de los servicios VPN haciéndose pasar por ellos. A tal fin, crearon una copia del sitio web del servicio VPN que se ve exactamente igual al original, con la única excepción de que es un nombre de dominio diferente.

Los enlaces al dominio se propagan a través de anuncios de diferentes redes de banners, una práctica que llamada “malvertizing". La víctima visita el sitio web de phishing y se le solicita que descargue un instalador de VPN gratuito. Una vez que una víctima descarga el instalador de VPN falso para Windows, descarga una copia del implante AZORult. Tan pronto como se ejecuta el implante, recopila la información del entorno del dispositivo infectado y lo transmite al servidor. Finalmente, el atacante roba criptomonedas de billeteras disponibles localmente (Electrum, Bitcoin, Etherium y otras), inicios de sesión FTP y sus contraseñas de FileZilla, credenciales de correo electrónico, información de navegadores instalados localmente (incluidas cookies), credenciales de WinSCP, Pidgin messenger y otros.

Tras el descubrimiento de la campaña, Kaspersky informó inmediatamente al servicio VPN en cuestión sobre el problema y bloqueó el sitio web falso.

“Esta campaña es un buen ejemplo de cuán vulnerables son nuestros datos personales hoy en día. Para protegerlos, los usuarios deben ser cautelosos y especialmente cuidadosos al navegar online. Este caso también muestra por qué se necesitan soluciones de ciberseguridad en cada dispositivo. Cuando se trata de copias de phishing de sitios web, es muy difícil para el usuario diferenciar entre una versión real y una falsa. Los delincuentes a menudo aprovechan las marcas populares y no es probable que esta tendencia disminuya”, comenta Dmitry Bestuzhev, director de GReAT en América Latina. "Recomendamos encarecidamente usar VPN para proteger el intercambio de datos en la web, pero también es importante estudiar de cerca desde dónde se descarga el software VPN".