2019 novemberében egy hamis weboldal regisztrációjával indult akció jelenleg is aktív, és arra irányul, hogy személyes adatokat és kriptodevizát lopjanak a fertőzött felhasználóktól. Ez azt is mutatja, hogy a kiberbűnözők még mindig vadásznak a kriptodevizákra, annak ellenére, hogy egyes jelentések szerint a fizetőeszköz iránti érdeklődés alábbhagyott. Az akció elindulása óta havi szinten 150-300 magyar felhasználó eszközeit támadják az AZORult vírussal. A Kaspersky kutatói a legmagasabb számot januárban mérték, amikor az egy felhasználói eszközre eső támadások száma meghaladta a 750-et.
Az AZORult egyike az orosz fórumokon legnagyobb adásvételi forgalmat bonyolító adatlopó vírusoknak. Népszerűsége annak köszönhető, hogy lehetőségek széles körét rejti. Ez a trójai vírus komoly fenyegetést jelent azokra, akiknek a számítógépe megfertőződött, mivel képes a különféle adatok - többek között a böngészési előzmények, a bejelentkezési hitelesítési adatok, a cookie-k, a mappákban tárolt fájlok, a kriptopénztárca-fájlok - begyűjtésére, ráadásul betöltőként is használható más malware-ek letöltéséhez.
Napjainkban, amikor keményen küzdünk a személyes adatok védelméért, fontos szerep jut a VPN-szolgáltatásoknak, mivel további adatvédelmet biztosítanak, és biztonságos internetes böngészést tesznek lehetővé. A kiberbűnözők mégis megpróbálnak visszaélni a VPN-szolgáltatások növekvő népszerűségével, mégpedig úgy, hogy leutánozzák őket, mint ahogy ez az AZORult kampány esetében is történik. A legfrissebb kampányban a támadók elkészítették egy VPN-szolgáltatás weboldalának másolatát, ami pontosan úgy néz ki, mint az eredeti oldal, azzal az egyetlen eltéréssel, hogy más a tartományneve.
A tartományra mutató hivatkozásokat hirdetésekben terjesztik különféle banner-hálózatokon keresztül. Ez a gyakorlat egyébként a "malvertizing" (malware-rel fertőzött online hirdetések) néven is ismert. Az áldozat felkeresi az adathalász weboldalt, ahol arra kérik, hogy töltsön le egy ingyenes VPN-telepítőt. Miután letöltötte a hamis VPN-telepítőt a Windowshoz, az egy AZORult botnet-szoftvert helyez el a gépén. Amikor a szoftver futni kezd, begyűjti a fertőzött eszköz környezeti adatait, és jelenti azokat a szerver felé. A támadó végül kriptodevizát lop a helyileg elérhető pénztárcákból (Electrum, Bitcoin, Etherium és egyebek), továbbá ellophatja még a következőket is: az FTP bejelentkezési adatokat és a jelszavakat a FileZilla alkalmazásból, az e-mail hitelesítési adatokat, különféle adatokat a helyileg telepített böngészőkből (a cookie-kat is), hitelesítési adatokat a WinSCP-ből és a Pidgin üzenetküldő alkalmazásból, és más egyebeket.
A kampány felfedezésekor a Kaspersky azonnal értesítette az érintett VPN-szolgáltatás üzemeltetőit a problémáról, és blokkolta a hamis weboldalt.
"A kampány jó példája annak, hogy mennyire sérülékenyek a személyes adataink manapság. Az adatok védelme érdekében a felhasználóknak óvatosnak kell lenniük, és különösen nagy gondossággal kell eljárniuk az online szörfözéskor. Az eset arra is rámutat, hogy miért kell minden eszközt kiberbiztonsági megoldásokkal védeni. A weboldalak adathalász másolatai esetén a felhasználónak nagyon nehéz különbséget tennie az igazi és a hamis változat között. A kiberbűnözők gyakran kihasználják a népszerű márkákat, és ez a trend várhatóan nem fog egyhamar kifutni" - fejtette ki Dmitrij Besztuzsev, a Kaspersky globális kutató és elemző szervezete latin-amerikai részlegének igazgatója. "Erősen ajánljuk a VPN használatát a webes adatcsere védelméhez, de arra is nagyon oda kell figyelni, hogy honnan töltjük le a VPN-szoftvert."
A fenyegetést a HEUR:Trojan-PSW.Win32.Azorult.gen néven azonosította a Kaspersky.
A mostani AZORult akcióról a Securelist.com weboldalon található bővebb információ.
A trójai adatlopó vírusok, mint például az AZORult okozta fertőzés kockázatának csökkentésére a Kaspersky a következőket javasolja a felhasználóknak:
- Ellenőrizze a weboldal hitelességét. Ne keressen fel weboldalakat, ha nem biztos abban, hogy legálisak, és figyeljen arra, hogy a címük "https"-sel kezdődjön. Győződjön meg a weboldal valódiságáról: a letöltés megkezdése előtt kétszer is ellenőrizze az URL formátumát vagy a vállalat nevének helyesírását, olvasson véleményeket róla, vagy ellenőrizze a tartomány regisztrációs adatait.
- A kriptodevizákat úgynevezett "hideg pénztárcákban" tárolja (amelyek nem kapcsolódnak az internetre), hogy minimálisra csökkentse a lopás kockázatát.
- A jelszavait és más személyes adatait (többek között a pénztárca privát kulcsát) lehetőleg egy jelszókezelőben, például a Kaspersky Password Managerben tartsa. Az alkalmazás biztonságosan, egy titkosított privát széfben tárolja az adatokat.
- Használjon megbízható biztonsági megoldást, például a Kaspersky Security Cloud szoftvert, amely fenyegetések széles köre, többek között adathalász tevékenységek ellen biztosít átfogó védelmet.
A Kasperskyről
A Kaspersky egy 1997-ben alapított globális kiberbiztonsági vállalat. A Kaspersky internetes fenyegetésekkel kapcsolatos tudását és biztonsági szakértelmét folyamatosan innovatív biztonsági megoldások és szolgáltatások fejlesztésére használja, hogy védelmet kínáljon vállalkozások, a kritikus infrastruktúra, a kormányok és a fogyasztók számára világszerte. A vállalat széleskörű biztonsági portfóliójába vezető végpont védelmi és számos speciális biztonsági megoldás és szolgáltatás tartozik, az összetett és fejlődő digitális veszélyekkel elleni küzdelem érdekében. Több mint 400 millió felhasználót védenek a Kaspersky technológiái, valamint 270.000 vállalati ügyfélnek segítenek megóvni azt, ami a legfontosabb számukra. További információ: www.kaspersky.com