Aanvallers zetten VPN-service in om cryptovaluta buit te maken

Jornt van der Wiel

21-02-2020 | door: Wouter Hoeffnagel

Aanvallers zetten VPN-service in om cryptovaluta buit te maken

Cybercriminelen jagen nog altijd op cryptovaluta. Een nieuwe aanvalscampagne zet een phishing-kopie van de website van een populaire VPN-service in om AZORult te verspreiden. Deze zogeheten ‘stealer trojan’ is vermomd als installatieprogramma voor Windows en richt zich op het stelen van persoonsgegevens en cryptovaluta van besmette gebruikers. De aanvalscampagne laat zien dat cybercriminelen nog altijd jagen op cryptovaluta, ondanks berichten dat hier geen belangstelling meer voor zou zijn.

Dit meldt Kaspersky Lab, dat spreekt over een 'ongewoon schadelijke campagne'. In een wereld waarin hard wordt gevochten voor privacy, spelen VPN-diensten een belangrijke rol. Juist daarom proberen cybercriminelen misbruik te maken van de groeiende populariteit van deze diensten door zich voor te doen als een VPN, zoals ook het geval is in deze AZORult-campagne. De aanvallers hebben voor deze nieuwste campagne een kopie gecreëerd van een website van een populaire VPN-dienst, die er exact zo uitziet als het origineel en alleen een andere domeinnaam heeft.

Data stelen

AZORult verzamelt diverse data, waaronder de browsergeschiedenis, logingegevens, cookies, bestanden uit mappen en cryptowallets. Bovendien kan de trojan worden gebruikt als loaderbestand om andere malware te downloaden.

Links naar het domein worden op verschillende bannernetwerken verspreid via advertenties, ook wel ‘malvertizing’ genoemd. Het slachtoffer bezoekt de phishing-website en wordt gevraagd een gratis VPN-installer te downloaden. Zodra een slachtoffer dat doet voor Windows, ontvangt hij een kopie van het AZORult botnet-implantaat. Wordt dit implantaat geopend, dan verzamelt het de informatie op de omgeving van het besmette apparaat en stuurt het die door naar de server. Uiteindelijk steelt de aanvaller cryptovaluta van lokaal beschikbare wallets (Electrum, Bitcoin, Etherium en andere), FTP-logins, wachtwoorden van FileZilla, e-mailgegevens, informatie van lokaal geïnstalleerde browsers (inclusief cookies), gegevens van WinSCP, Pidgin messenger en meer.

Website geblokkeerd

Direct na de ontdekking van de campagne informeerde Kaspersky de betreffende VPN-dienst over het probleem en blokkeerde het de valse website. Jornt van der Wiel, beveiligingsexpert bij Kaspersky: “Dit is een goed voorbeeld van hoe kwetsbaar onze persoonlijke data tegenwoordig zijn, maar ook waarom op elk apparaat cyberbeveiligingsoplossingen nodig zijn. Voor de gebruiker is het erg moeilijk om onderscheid te maken tussen een echte versie van een website en een phishing-kopie. Wij raden aan om de data-uitwisseling op internet te beschermen met een VPN, maar het is ook belangrijk om goed te onderzoeken van waar deze VPN-software wordt gedownload.”

Kaspersky detecteert deze dreiging als HEUR:Trojan-PSW.Win32.Azorult.gen

Lees meer over deze AZORult campagne op Securelist.com.

Terug naar nieuws overzicht

Tags

Security