venerdì 21 febbraio 2020

La VPN in realtà è un malware: un installer fake di ProtonVPN diffonde AZORult


E online almeno dal Novembre 2019 un sito fake che imita in tutto e per tutto il sito web ufficiale della nota Virtual Private Network ProtonVPN, ma in realtà ha una sola funzione precisa: quella di infettare gli ignari utenti col malware AZORult. Il malware è camuffato da installer, appunto, di ProtonVPN. ProtonVPN è una VPN open source incentrata sulla sicurezza sviluppata e fornita da Proton Technologies AG, la compagnia svizzera conosciuta anche per ProtonMail, noto servizio di email criptate end-to-end.  

AZORult invece è invece un trojan in costante evoluzione fin dalla sua prima individuazione, venduto a circa 100 dollari su svariati siti di hacking: specializzato nel furto dati, funge anche da downloader per altre famiglie di malware in campagne di infezione  multi-stadio. E' stato individuato molto spesso in accoppiata con ransomware, altri malware per il furto dati e miner di criptovaluta. In dettaglio raccoglie e invia al server di comando e controllo degli attaccanti più informazioni sensibili possibili, raccoglibili dai file presenti sul sistema infetto, password, cookie, cronologia del browser, credenziali bancarie, estremi dei wallet di criptovaluta. 

Il sito web fake. Fonte: bleepingcomputer.com

AZORult: come viene distribuito?
Il falso sito web è stato registrato tramite un provider russo nel Novembre 2019: l'indirizzo è protonvpn[.]store. Il periodo di registrazione coincide con l'avvio di una campagna di distribuzione del payload del malware AZORult che vede, come vettore iniziale per la distribuzione del payload, una rete di banner (ovviamente fake e dannosi) per l'affiliazione alla VPN. Le vittime che fanno click sui banner si trovano ovviamente reindirizzate al falso sito web e vi trovano in download il falso installer ProtonVPN per Windows che, in realtà, installa la botnet AZORult. Inutile dire, forse, che il sito web fake è molto molto simile, quasi indistinguibile, dall'originale. 

L'installer dannoso si chiama ProtonVPN_win_v1.10.0[.]exe: se l'utente lo esegue, la macchina viene infettata e il malware inizia la raccolta delle informazioni, quindi crea la connessione col server di comando e controllo locato nello stesso server del sito fake, all'indirizzo accouns[.]protonvpn[.]store. Tra le tante informazioni, AZORult ha comandi precisi per ricercare sulla macchina target: 
  • login FTP
  • password di FileZilla
  • credenziali email
  • credenziali per WinSCP
  • criptovaluta dai wallet disponibili in locale (Electrum, Bitcoin, Etherium ecc..)

AZORult si ripete: non è la prima volta che si nasconde dietro le VPN
Non è la prima volta che i siti web relativi a VPN vengono utilizzate in realtà per la funzione a loro esattamente opposta, ovvero rubare dati anziché proteggerli. Un precedente importante ha riguardato, ad esempio, il sito web ufficiale del servizio NordVPN, usato come vera e propria piattaforma di distribuzione di una serie di trojan bancari. 

Una falsa VPN chiamata "Pirate Chick VPN" fu usata per distibuire AZORult lo scorso anno, fin quando, identificata da alcuni ricercatori di sicurezza, non è stata messa offline. 

Nessun commento:

Posta un commento