해커가 최고의 VPN으로 가장하여 암호 화폐 도용
사이버 범죄자들은 VPN 서비스의 인기가 높아지고 있음
카스퍼 스키의 연구원 들은 인기있는 VPN 서비스 웹 사이트의 가짜 버전을 사용 하여 트로이 목마 AZORult를 확산시켜 사용자가 Windows 설치 프로그램을 다운로드한다고 생각하도록 유도 하는 새로운 악성 캠페인을 발견했습니다 .
AZORult는 다양한 기능으로 인해 러시아 해킹 포럼에서 가장 일반적인 도둑 중 하나입니다. 이 트로이 목마는 공격자가 브라우저 기록, 로그인 자격 증명, 쿠키, 파일 및 폴더, 암호 파일을 포함하여 풍부한 데이터를 수집 할 수 있으며 다른 맬웨어 를 다운로드하는 로더로도 사용될 수 있으므로 감염된 컴퓨터에 심각한 위협이됩니다 .
더 많은 사용자가 온라인으로 개인 정보를 보호하기 위해 VPN을 사용함에 따라 사이버 범죄자들은이 AZORult 캠페인의 경우처럼 VPN을 가장하여 점점 인기를 끌고 있습니다.
비밀번호 스털링 맬웨어의 주요 증가
'코로나 바이러스 메시지를 제어하기 위해' 중국 VPN 단속
카스퍼 스키의 새로운 솔루션은 소비자 드론으로부터 비즈니스를 보호합니다
카스퍼 스키 연구원들이 발견 한 캠페인에서 공격자들은 도메인 이름이 다르다는 사실을 제외하고는 서비스의 실제 사이트와 동일하게 보이는 ProtonVPN의 웹 사이트 사본을 만들었습니다.
AZORult 캠페인
가짜 VPN 웹 사이트에 대한 링크는 다른 배너 네트워크를 통한 광고를 통해 전파되며 이는 악성 광고 라고도합니다 .
피해자가 피싱 웹 사이트를 방문하면 무료 VPN 설치 프로그램을 다운로드하라는 메시지가 표시됩니다. 그러나 피해자가 Windows 용 가짜 VPN 설치 프로그램을 다운로드하면 AZORult 봇넷 임플란트의 복사본이 삭제됩니다. 임플란트가 활성화되면 감염된 장치의 환경 정보를 수집하여 공격자가 제어하는 서버에 다시보고합니다.
그런 다음 공격자 는 FTP 로그인, FileZilla의 암호, 전자 메일 자격 증명, 쿠키 및 WinSCPm의 자격 증명, Pidgin 메신저 및 기타 소프트웨어를 포함한 브라우저의 정보뿐만 아니라 암호화 로그에서 장치에 로컬로 저장된 모든 암호 화폐 를 훔칩니다 .
캠페인을 발견 한 후 카스퍼 스키는 즉시 ProtonVPN에 알리고 보안 소프트웨어에서 가짜 웹 사이트를 차단했습니다.
Andy Yen은 ProtonVPN의 창립자이자 CEO 인 TechRadar Pro 와의 인터뷰 에서 회사가 캠페인의 영향을 제한하기 위해 어떻게 노력하고 있는지에 대해 다음과 같이 말했습니다.
“이것은 비공식 소스에서 앱을 다운로드하지 않는 것이 중요하다는 것을 강조합니다. 앱을 다운로드하기 전에 사용자는 항상 웹 사이트 주소, 앱 이름 및 앱 개발자가 정품인지 확인해야합니다. 이 경우 가짜 앱은 사용자 정보, 특히 암호화 통화 관련 데이터를 훔치기 위해 설계된 것으로 보입니다. 카스퍼 스키는 가짜 웹 사이트를 차단하고 맬웨어를 발견하자마자 문제를 알려주었습니다. 캠페인의 영향을 제한하기 위해 즉시 도메인 중단을 요청했습니다. 또한 실수로 앱의 가짜 버전을 다운로드 한 경우 어떻게해야하는지에 대한 가이드 를 게시했습니다 .”