Szokatlanul rosszindulatú támadást fedeztek fel biztonsági szakértők, amely egy népszerű VPN-szolgáltatás webhelyének adathalász másolatát használja fel az AZORult trójai terjesztésére. Az akcióban egyre több hazai felhasználó is érintett.
Az akciót, amely egy népszerű VPN-szolgáltatás webhelyének adathalász másolata(lásd a képen) segítségével, Windows-telepítők álcája alatt terjeszti az AZORult adatlopó trójai vírust a Kaspersky kutatói fedezték fel.
Havi szinten több száz magyar felhasználó is érintett
A múlt év novemberében egy hamis weboldal regisztrációjával indult támadás jelenleg is aktív, és arra irányul, hogy személyes adatokat és kriptodevizát lopjanak a fertőzött felhasználóktól. A kíberbűnözők még mindig vadásznak a kriptodevizákra, annak ellenére, hogy elemzők szerint a fizetőeszköz iránti érdeklődés alábbhagyott.
Az akció elindulása óta havi szinten 150-300 magyar felhasználó eszközeit támadják az AZORult vírussal. A Kaspersky kutatói a legmagasabb számot januárban mérték, amikor az egy felhasználói eszközre eső esetek száma meghaladta a 750-et.
Az AZORult egyike az orosz fórumokon legnagyobb adásvételi forgalmat bonyolító adatlopó vírusoknak. Ez a trójai a fertőzött gépeken képes a különféle adatok – böngészési előzmények, bejelentkezési hitelesítési adatok, cookie-k, mappákban tárolt fájlok, kriptopénztárca-fájlok – begyűjtésére, ráadásul betöltőként is használható más rosszindulatú programok letöltéséhez.
A terjesztéshez fertőzött online hirdetéseket használnak
Már az adatvédelmet és biztonságos böngészést jelentő virtuális privát hálózatokra épülő szolgáltatásokat sem kímélik a támadók. A legfrissebb kampányukban elkészítették egy VPN-szolgáltatás weboldalának másolatát, ami pontosan úgy néz ki, mint az eredeti, csak más a tartományneve.
A tartományra mutató hivatkozásokat hirdetésekben terjesztik különféle banner-hálózatokon keresztül. Ez a gyakorlat egyébként a „malvertizing” (malware-rel fertőzött online hirdetések) néven is ismert. Az áldozat felkeresi az adathalász weboldalt, ahol arra kérik, hogy töltsön le egy ingyenes VPN-telepítőt.
Miután letöltötte a hamis VPN-telepítőt a Windowshoz, az egy AZORult botnet-szoftvert helyez el a gépén. Amikor a szoftver futni kezd, begyűjti a fertőzött eszköz környezeti adatait, és jelenti azokat a szerver felé. A támadó végül kriptodevizát lop a helyileg elérhető pénztárcákból (Electrum, Bitcoin, Etherium és egyebek).
Ellophatja továbbá még az FTP bejelentkezési adatokat és a jelszavakat a FileZilla alkalmazásból, az e-mail hitelesítési adatokat, különféle adatokat a helyileg telepített böngészőkből (a cookie-kat is), hitelesítési adatokat a WinSCP-ből és a Pidgin üzenetküldő alkalmazásból, meg még más egyebeket is. A kampány felfedezésekor a Kaspersky azonnal értesítette az érintett VPN-szolgáltatás üzemeltetőit a problémáról, és blokkolta a hamis weboldalt.
Hogyan védekezzünk?
A Kaspersky egyik vezetője szerint a kiberbűnözők gyakran kihasználják a népszerű márkákat, és ez a trend várhatóan nem fog egyhamar kifutni. Erősen ajánlják a VPN használatát a webes adatcsere védelméhez, de arra is nagyon oda kell figyelni, hogy honnan töltjük le a VPN-szoftvert.
A trójai adatlopó vírusok okozta fertőzés kockázatának csökkentésére a cég a következőket javasolja:
- Ellenőrizzük a weboldal hitelességét. Ne keressünk fel weboldalakat, ha nem vagyunk biztosak abban, hogy legálisak, és figyeljünk arra, hogy a címük „https”-sel kezdődjön. Győződjünk meg a weboldal valódiságáról: a letöltés megkezdése előtt kétszer is ellenőrizzük az URL formátumát vagy a vállalat nevének helyesírását, olvassunk véleményeket róla, vagy ellenőrizzük a tartomány regisztrációs adatait.
- A kriptodevizákat úgynevezett „hideg pénztárcákban” tároljuk, ezek nem kapcsolódnak az internetre, így minimálisra csökkenthetjük a lopás kockázatát.
- A jelszavainkat és más személyes adatainkat (többek között a pénztárca privát kulcsát) lehetőleg egy jelszókezelőben tartsuk. Az adatokat pedig egy titkosított privát széfben tároljuk.
- Használjunk olyan megbízható biztonsági szoftvereket, amelyek a fenyegetések széles köre, többek között adathalász tevékenységek ellen is védelmet biztosítanak.