AZORult-Trojaner kommt nun im Gewand eines beliebten VPN-Services

Die Experten von Kaspersky haben eine gefährliche und vor allem ungewöhnliche Kampagne [1] entdeckt, bei der der AZORult-Trojaner über eine Phishing-Seite verbreitet wird, die die Webseite eines beliebten VPN-Services (Virtual Private Network) nachahmt. Das Schadprogramm wird als Installer für Windows getarnt. Die meisten versuchten Infizierungen weltweit gingen im Januar 2020 auf das Konto deutscher Nutzer. Die nun von Kaspersky entdeckte Kampagne, die mit der Registrierung einer gefälschten Webseite im November 2019 begann, ist weiterhin aktiv und hat den Diebstahl persönlicher Daten von infizierten Nutzern sowie von Kryptowährungen zum Ziel. Die Kampagne zeigt, dass Nutzer von Bitcoin, Electrum und Co. trotz teils anderweitig lautender Berichte nach wie vor im Visier der Cyberkriminellen stehen.

AZORult [2] gehört aufgrund seiner vielfältigen Einsatzmöglichkeiten zu einer der in russischen Foren am häufigsten ge- und verkauften Stealer-Programme. Die große Gefahr für alle möglicherweise infizierten Nutzer: Der Trojaner ist in der Lage, verschiedenster Daten zu erfassen und zu sammeln, darunter Browserverläufe, Anmeldeinformationen, Cookies, Dateien aus Ordnern sowie Crypto-Wallet-Dateien. Zudem kann er auf einem kompromittierten System auch als Loader zum Herunterladen anderer Malware verwendet werden.

VPN-Services versprechen zusätzlichen Datenschutz und sicheres Surfen im Internet. Allerdings versuchen Cyberkriminelle zunehmend, die wachsende Beliebtheit von VPNs auszunutzen. Hierbei missbrauchen sie den Namen und geben sich – wie jetzt bei AZORult – als ein VPN-Dienst aus.

Das aktuelle Beispiel zeigt, wie die Hintermänner der Kampagne eine Fake-Webseite erstellt haben, die dem Original bis auf eine Ausnahme – der Domainname ist ein anderer – zum Verwechseln ähnlich sieht [3] und so nur schwer für die Nutzer als Fake zu erkennen ist.

Die Infektionskette: Malvertizing, kostenloses VPN-Tool, Schädling auf dem Rechner

Um möglichst viele Nutzer in die Falle zu locken, bewerben die Angreifer die gefälschte Domain über verschiedene Banner-Netzwerke, eine Praxis, die auch als „Malvertizing“ [4] bezeichnet wird. Besucht ein potenzielles Opfer die gefälschte Phishing-Webseite, wird ihm ein kostenloses VPN-Installationsprogramm zum Download angeboten. Sobald ein Nutzer das gefälschte VPN-Installationsprogramm für Windows herunterlädt, wird eine Kopie des AZORult-Botnetz-Implantats heimlich auf dem Opfersystem hinterlegt. Sobald das Implantat auf dem kompromittierten System ausgeführt wird, sammelt es Informationen über die Umgebung des infizierten Geräts und meldet diese an einen hierfür vorgesehenen Server. Schließlich sind die Angreifer in der Lage, Kryptowährungen aus lokal verfügbaren Wallets (wie Electrum, Bitcoin, Etherium und anderen), FTP-Anmeldedaten inklusive Kennwörter aus FileZilla, E-Mail-Anmeldeinformationen, Informationen aus lokal installierten Browsern (einschließlich Cookies), Anmeldeinformationen aus WinSCP sowie dem Pidgin-Messenger und weiteren zu entwenden.

Nach der Entdeckung der Kampagne hat Kaspersky den betreffenden VPN-Dienst umgehend über das Problem informiert und die gefälschte Webseite für seine Nutzer blockiert.

„Diese Kampagne ist ein gutes Beispiel dafür, wie gefährdet unsere persönlichen Daten heutzutage sind. Um sie zu schützen, müssen Nutzer vorsichtig sein, insbesondere wenn sie im Internet surfen. Zudem zeigt der Fall, warum Cybersicherheitslösungen auf jedem Gerät benötigt werden. Im Falle von Phishing-Seiten ist es für Nutzer sehr schwierig, eine richtige von einer falschen Webseite zu unterscheiden. Cyberkriminelle schlagen Kapital aus beliebten Brands; dieser Trend wird voraussichtlich nicht so schnell wieder abklingen“, erläutert Dmitry Bestuzhev, IT-Sicherheitsexperte bei Kaspersky. „Wir empfehlen dringend eine VPN-Lösung zum Schutz des Datenaustausches im Internet zu nutzen. Zusätzlich ist es wichtig, genau zu prüfen, woher die VPN-Software heruntergeladen wird“.

Kaspersky hat die Bedrohung als HEUR:Trojan-PSW.Win32.Azorult.gen erfasst. Die komplette Analyse ist unter https://securelist.com/azorult-spreads-as-a-fake-protonvpn-installer/96261/ abrufbar.

Um das Risiko einer Infizierung mit Trojanernwie AZORult zu reduzieren, empfiehlt Kaspersky folgende Maßnahmen:

• Nutzer sollten immer erst die Glaubwürdigkeit einer Webseite prüfen und keine Seiten besuchen, die nicht seriös sind. Jede Seite sollte mit ‚https‘ beginnen und die URL-Adresse oder die Schreibweise des Firmennamens sollte nochmals überprüft werden. Außerdem sollten Nutzer Rezensionen im Internet lesen und die Registrierungsdaten der Domain kontrollieren, bevor sie Downloads durchführen.
• Kryptowährungen sollten immer in so genannten Cold Wallets abgelegt werden: Diese sind nicht mit dem Internet verbunden und minimieren daher das Risiko eines Diebstahls.
• Passwörter und andere persönliche Informationen, einschließlich des Private Keys der Cold Wallets, sollten über ein Password-Manager-Programm, wie dem Kaspersky Password Manager [5], sicher verwahrt und verwaltet werden.
• Der Einsatz einer zuverlässigen Sicherheitslösung, wie Kaspersky Security Cloud [6], schützt Cyberbedrohungen, einschließlich Phishing-Aktivitäten.

[1] https://securelist.com/azorult-spreads-as-a-fake-protonvpn-installer/96261/

[2] https://securelist.com/azorult-analysis-history/89922/

[3] https://box.kaspersky.com/f/7cae2ff261e9411bb87d/

[4] https://www.kaspersky.de/blog/was-ist-malvertising/3917/

[5] https://www.kaspersky.de/password-manager

[6] https://www.kaspersky.de/security-cloud

Nützliche Links:

• Kaspersky-Analyse zu aktuellen AZORult-Kampagne: https://securelist.com/azorult-spreads-as-a-fake-protonvpn-installer/96261/
• Kaspersky Security Cloud: https://www.kaspersky.de/security-cloud
• Kaspersky Password Manager: https://www.kaspersky.de/password-manager