Les chercheurs de Kaspersky ont découvert une nouvelle campagne malveillante qui utilise une fausse version du site Web d’un service VPN populaire pour propager le voleur de chevaux de Troie AZORult en incitant les utilisateurs à penser qu’ils téléchargent un programme d’installation de Windows.

AZORult est l’un des voleurs les plus courants sur les forums de piratage russes en raison de sa large gamme de capacités. Ce cheval de Troie représente une menace sérieuse pour les ordinateurs infectés car il permet à un attaquant de collecter une multitude de données, notamment l’historique du navigateur, les informations de connexion, les cookies, les fichiers et les dossiers, les fichiers cryptowallet et il peut même être utilisé comme chargeur pour télécharger d’autres logiciels malveillants.

Alors que de plus en plus d’utilisateurs se sont tournés vers les VPN pour protéger leur vie privée en ligne, les cybercriminels ont commencé à abuser de la popularité croissante des VPN en les usurpant leur identité, comme c’est le cas dans cette campagne AZORult.

Dans la campagne découverte par les chercheurs de Kaspersky, les attaquants ont créé une copie du site Web de ProtonVPN qui ressemble au site réel du service, à l’exception du fait qu’il a un nom de domaine différent.

Campagne AZORult

Les liens vers le faux site Web VPN sont diffusés à travers des publicités via différents réseaux de bannières, ce qui est également appelé malvertising.

Lorsqu’une victime visite le site Web de phishing, elle est invitée à télécharger un programme d’installation VPN gratuit. Cependant, une fois qu’une victime télécharge le faux programme d’installation VPN pour Windows, elle laisse tomber une copie de l’implant AZORult botnet. Une fois l’implant activé, il recueille les informations sur l’environnement du périphérique infecté et les signale à un serveur contrôlé par les attaquants.

Les attaquants volent ensuite toute crypto-monnaie stockée localement sur l’appareil à partir de portefeuilles de cryptage ainsi que les connexions FTP, les mots de passe de FileZilla, les informations d’identification de messagerie, les informations des navigateurs, y compris les cookies et les informations d’identification de WinSCPm, Pidgin messenger et d’autres logiciels.

Après avoir découvert la campagne, Kaspersky a immédiatement informé ProtonVPN et bloqué le faux site Web dans son logiciel de sécurité. TechRadar Pro a également contacté ProtonVPN pour une déclaration à ce sujet.

