Llegamos a ustedes gracias a:



Alertas de Seguridad

La nueva campaña de AZORult

Abusa del popular servicio de VPN para robar criptografía

[20/02/2020] Los investigadores de Kaspersky han detectado una inusual campaña maliciosa que utiliza una copia de phishing del sitio web de un popular servicio VPN para difundir AZORult, un ladrón de troyanos, bajo la apariencia de instaladores para Windows.

La campaña, que comenzó a finales de noviembre deL 2019 con el registro de un sitio web falso, está actualmente activa y se centra en el robo de información personal y de criptografía de los usuarios infectados. Según Kaspersky, esto demuestra que los ciberdelincuentes siguen buscando la criptodivisa, a pesar de los informes de que el interés por la moneda ha disminuido.

"AZORult es uno de los ladrones más comprados y vendidos en los foros rusos debido a su amplia gama de capacidades. Este troyano supone una grave amenaza para aquellos cuyas computadoras pueden haber sido infectadas, ya que es capaz de recopilar diversos datos, como el historial del navegador, las credenciales de acceso, las cookies, los archivos de las carpetas, los archivos de la criptoteca y también puede utilizarse como cargador para descargar otros programas maliciosos, señaló Dmitry Bestuzhev, director de GREAT en América Latina.

El analista añadió que, en un mundo en el que se lucha mucho por la privacidad, los servicios de VPN desempeñan un papel importante al permitir una protección adicional de los datos y una navegación segura por Internet. "Sin embargo, los ciberdelincuentes intentan abusar de la creciente popularidad de las VPN haciéndose pasar por ellas, como es el caso de esta campaña de AZORult. En la campaña más reciente, los atacantes crearon una copia de la página web de un servicio VPN, que se ve exactamente igual al original con la única excepción de un nombre de dominio diferente, indicó Bestuzhev.

Captura de pantalla de una copia de phishing del sitio web del servicio VPN atacado

Añadió que, los vínculos con el dominio se difunden a través de anuncios en diferentes redes de banners, una práctica que también se llama 'malvertización'. "La víctima visita el sitio web de phishing y se le pide que descargue un instalador VPN gratuito. Una vez que la víctima descarga un falso instalador VPN para Windows, deja caer una copia del implante de la red de robots AZORult. Tan pronto como el implante se ejecuta, recoge la información del entorno del dispositivo infectado y lo reporta al servidor. Finalmente, el atacante roba criptocracia de las carteras disponibles localmente (Electrum, Bitcoin, Etherium, y otros), inicios de sesión de FTP, y sus contraseñas de FileZilla, credenciales de correo electrónico, información de los navegadores instalados localmente (incluyendo cookies), credenciales de WinSCP, Pidgin messenger y otros, indicó Bestuzhev.

Al descubrir la campaña, Kaspersky informó inmediatamente al servicio VPN en cuestión sobre el asunto y bloqueó el sitio web falso.

Para reducir el riesgo de infección con los ladrones de troyanos como AZORult, Kaspersky recomienda a los usuarios:

  • Compruebe si la página web es auténtica. No visite los sitios web hasta que esté seguro de que son legítimos y empiece con 'https'. Confirme que el sitio web es auténtico comprobando el formato de la URL o la ortografía del nombre de la empresa, leyendo las críticas al respecto y comprobando los datos de registro del dominio antes de iniciar las descargas.
  • Almacenar las criptodivisas en carteras frías (las que no están conectadas a Internet) para minimizar el riesgo de que se roben los fondos
  • Intenta mantener tus contraseñas y otra información personal, incluyendo la clave privada de su cartera, en un administrador de contraseñas.
  • Utilice una solución de seguridad fiable que protege los dispositivos de una amplia gama de amenazas, incluida la actividad de phishing.