O AZORult está a utilizar um serviço VPN para não só roubar dados pessoais, mas também criptomoedas dos utilizadores
Os investigadores da Kaspersky detetaram uma nova campanha de malware que utiliza um website de phishing que surge como uma cópia de um conhecido serviço VPN, com o objetivo de difundir o trojan AZORult sob a “aparência” de um instalador para Windows. A ameaça começou em finais de novembro de 2019, com o registo do falso website, estando atualmente ativa e focando-se no roubo de informações pessoais e criptomoedas dos utilizadores. Isto revela que os hackers continuam à caça de criptomoedas, embora os relatórios sobre esta atividade maliciosa tenham concluído que o seu interesse havia diminuído. AZORult é um dos malware mais vendidos e comprados nos fóruns russos online devido à sua ampla gama de capacidades. Este trojan representa uma grande ameaça para os utilizadores cujos computadores são infetados, uma vez que é capaz de recolher dados como o histórico do navegador, as senhas de acesso, cookies, ficheiros de pastas, carteiras eletrónicas de criptomoedas, podendo ainda ser utilizado como “carregador” para fazer o download de outros malware. Segundo os dados da Kaspersky, Portugal não está entre os países com maior número de infeções provocadas por este trojan, tendo ficado, em média, abaixo da posição n.º 30 numa lista mundial com cerca de 200 países, ao longo do último ano. No mês passado, os países mais afetados foram a Alemanha (31.188), seguida da Índia (21.398), Vietname (19.398), França (18.451) e Rússia (15.494). Portugal, com 1.946 casos detetados, ficou em 40.º lugar no ranking internacional em janeiro deste ano. A privacidade é um tema cada vez mais importante na atualidade, sendo os serviços VPN (Rede Privada Virtual) uma opção que garante uma navegação segura na Internet e uma proteção adicional dos dados confidenciais. Contudo, os hackers aproveitam-se da crescente popularidade destes serviços para criarem cópias semelhantes que funcionem como armadilhas para os utilizadores, como é exemplo a campanha AZORult. Em concreto, os atacantes criaram uma réplica do website de um serviço VPN, cujo aspeto era idêntico ao original, com uma única exceção: o nome do domínio era diferente. Os links para o falso domínio são difundidos através de anúncios em diferentes redes de banners, uma prática que é conhecida como “malvertising”. Quando o utilizador visita o website de phishing, é-lhe solicitado que descarregue um instalador de VPN gratuito. Assim que o download é feito para o Windows, o instalador liberta um implante de AZORult que, uma vez executado, recolhe informações do ambiente do dispositivo infetado e transmite-as ao servidor. É assim que o hacker consegue intersetar criptomoedas (Electrum, Bitcoin, Etherium, entre outras), logins de FTP, senhas do FileZilla, acessos de e-mail, cookies, credenciais de WinSCP, Pidgin Messenger e outras. “Este caso é um bom exemplo do quão vulneráveis são os dados pessoais hoje em dia e de como é fundamental adotarmos soluções de cibersegurança para os nossos dispositivos. Para proteger a sua informação pessoal, os utilizadores devem ser cautelosos e especialmente cuidadosos quando navegam online. Em especial, as cópias de websites de phishing são difíceis de distinguir das páginas originais e fidedignas, por isso não prevemos que esta prática desapareça facilmente entre os hackers”, comenta Dmitry Bestuzhev, Diretor da GReAT na América Latina. E acrescenta: "Recomendamos o uso de VPN para a proteção da circulação dos dados na Internet, mas também aconselhamos aos utilizadores que verifiquem sempre a fonte onde descarregam o software de VPN”. |