Una nueva campaña de AZORult aprovecha un servicio VPN para robar criptomonedas

La campaña, que comenzó a finales de noviembre de 2019 con el registro de un sitio web falso, está actualmente activa y se centra en el robo de información personal y de criptomoneda a los usuarios infectados. Esto demuestra que los ciberdelincuentes siguen a la caza de criptomonedas, pese a que los informes indiquen que el interés por este tipo de moneda ha disminuido.

AZORult es uno de los troyanos más comprados y vendidos en los foros rusos debido a su amplia gama de capacidades. Este troyano supone una grave amenaza para aquellos usuarios cuyos ordenadores puedan haber sido infectados, ya que es capaz de recopilar datos como el historial del navegador, las credenciales de acceso, las cookies, los archivos de las carpetas, los archivos del monedero de criptomonedas y puede utilizarse como cargador para descargar otros programas maliciosos.

De acuerdo con los datos de Kaspersky, en diciembre del pasado año el mayor número de infecciones se registró en Alemania (31.270), seguido de la Federación Rusa (18.091) y Francia (17.154). En ese mes en España se detectaron 5.002 infecciones, ocupando el puesto 12º en la lista mundial de infecciones en el mundo. El pasado mes de enero Alemania siguió a la cabeza de infecciones en el mundo (31.188), seguido de India (21.398), Vietnam (19.398), Francia (18.451) y Federación Rusa (15.494). España con 2.462 infecciones ocupó el puesto 13º de la lista mundial.

La privacidad es de vital importancia en la actualidad, y los servicios de VPN desempeñan un papel importante al proporcionar una protección adicional de los datos y una navegación segura por Internet. Sin embargo, los ciberdelincuentes se aprovechan de la creciente popularidad de las VPN haciéndose pasar por ellos, como es el caso de esta campaña de AZORult. En la campaña más reciente, los atacantes crearon una copia de la página web de un servicio VPN, de aspecto idéntico al original con la única excepción de un nombre de dominio diferente.

Los vínculos al dominio se difunden a través de anuncios en diferentes redes de banners, una práctica que también se llama "malvertizing" (publicidad maliciosa). La víctima visita el sitio web de phishing y se le pide que descargue un instalador VPN gratuito. Una vez que la víctima descarga un falso instalador VPN para Windows, instala un implante de la botnet AZORult. Tan pronto como el implante se ejecuta, recoge la información del entorno del dispositivo infectado y lo transmite al servidor. Finalmente, el atacante roba criptomonedas de las carteras disponibles localmente (Electrum, Bitcoin, Etherium, y otros), inicios de sesión de FTP, y sus contraseñas de FileZilla, credenciales de correo electrónico, información de los navegadores instalados localmente (incluyendo cookies), credenciales de WinSCP, Pidgin messenger y otros.

Al descubrir la campaña, Kaspersky informó inmediatamente al servicio VPN y se bloqueó el sitio web falso.

"Esta campaña es un buen ejemplo de lo vulnerables que son nuestros datos personales hoy en día. Para protegerlos, los usuarios deben ser cautelosos y especialmente cuidadosos cuando navegan online. Este caso también muestra por qué se necesitan soluciones de ciberseguridad en cada dispositivo. Cuando se trata de copias de sitios web de phishing, es muy difícil para el usuario diferenciar entre una versión real y una falsa. Los ciberdelincuentes suelen sacar provecho de las marcas populares y no es probable que esta tendencia desaparezca", comenta Dmitry Bestuzhev, director de GREAT en América Latina. "Recomendamos encarecidamente el uso de VPN para la protección del intercambio de datos en la web, pero también es importante comprobar atentamente de dónde se descarga el software de VPN".

Kaspersky detecta esta amenaza como HEUR:Trojan-PSW.Win32.Azorult.gen

Lea más sobre esta campaña de AZORult en Securelist.

Para reducir el riesgo de infección por troyanos como AZORult, Kaspersky recomienda a los usuarios:

• Comprobar si la página web es auténtica. No visitar sitios web hasta estar seguros de que son legítimos y empiecen con 'https'. Confirmar que el sitio web es auténtico comprobando el formato de la URL o la ortografía del nombre de la empresa, leyendo las críticas al respecto y comprobando los datos de registro del dominio antes de iniciar las descargas.
• Almacenar las criptomonedas en monederos no conectados a Internet (coldwallets) para minimizar el riesgo del robo de fondos
• Intentar mantener las contraseñas y otra información personal, incluyendo la clave privada de la cartera, en un administrador de contraseñas, como el Kaspersky Password Manager. La aplicación almacena sus datos de forma segura en un repositorio privado y encriptado.

Utilice una solución de seguridad fiable, como la Kaspersky Security Cloud, que protege los dispositivos de una amplia gama de amenazas, incluido el phishing.