Инциденты

AZORult под маской установщика ProtonVPN

У троянца AZORult насыщенная история. Но несколько дней назад мы обнаружили, возможно, одну из самых необычных кампаний с его участием: преступники создали фальшивый установщик ProtonVPN для Windows, зараженный вредоносным кодом.

Так выглядит поддельный сайт ProtonVPN

Кампания была запущена в конце ноября 2019 года, когда ее организаторы зарегистрировали новый домен protonvpn[.]store. Регистратор домена находится в России.

Мы обнаружили по крайней мере один из векторов атаки — вредоносная реклама в баннерных сетях
(Malvertising).

На поддельном сайте жертва скачивает фальшивый установщик ProtonVPN для Windows вместе с имплантом ботнета Azorult.

Творение преступников представляет собой HTTrack-копию оригинального сайта ProtonVPN, как показано ниже.

После того как жертва запускает имплант, он собирает информацию на зараженном компьютере и передает ее на C2-сервер accounts[.]protonvpn[.]store .

Киберпреступники создали вредоносное ПО, чтобы красть криптовалюту из локальных кошельков (Electrum, Bitcoin, Etherium и т. д.), имена и пароли для доступа к FTP-серверам из FileZilla, данные аккаунтов электронной почты, информацию из локальных браузеров (в том числе файлы cookies), учетные данные для входа в WinSCP, учетные записи мессенджера Pidgin и многое другое.

Мы смогли распознать несколько экземпляров, которые использовались в ходе кампании:

Имя файла Хэш MD5
ProtonVPN_win_v1.10.0.exe cc2477cf4d596a88b349257cba3ef356
ProtonVPN_win_v1.11.0.exe 573ff02981a5c70ae6b2594b45aa7caa
ProtonVPN_win_v1.11.0.exe c961a3e3bd646ed0732e867310333978
ProtonVPN_win_v1.11.0.exe 2a98e06c3310309c58fb149a8dc7392c
ProtonVPN_win_v1.11.0.exe f21c21c2fceac5118ebf088653275b4f
ProtonVPN_win_v1.11.0.exe 0ae37532a7bbce03e7686eee49441c41
Unknown 974b6559a6b45067b465050e5002214b

Продукты «Лаборатории Касперского» определяют эту угрозу как HEUR:Trojan-PSW.Win32.Azorult.gen

AZORult под маской установщика ProtonVPN

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике