Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI TECNICA

AZORult, il malware che si spaccia per una nuova versione di ProtonVPN e ruba dati riservati: i dettagli

Una campagna malvertising sta diffondendo una variante del trojan AZORult nascosto in un finto installer del famoso tool di sicurezza ProtonVPN per Windows: il suo scopo è quello di rubare dati e informazioni riservate alle vittime. Ecco i dettagli e i consigli per difendersi

19 Feb 2020
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore


È in atto una campagna di malvertising che i criminal hacker usano per diffondere una variante di AZORult, un trojan che si nasconde dentro un finto installer del famoso tool di sicurezza ProtonVPN e il cui scopo è quello di rubare credenziali di posta elettronica ed FTP (memorizzate nel tool FileZilla), informazioni riservate, cookie e cronologie dei browser delle vittime.

In questa nuova versione del malware, inoltre, i criminal hacker hanno implementato alcune routine per carpire criptovalute da wallet installati in locale (tra cui Bitcoin, Electrum ed Etherium).

Il malware AZORult risulta essere uno dei trojan più acquistati e venduti sulle Darknet russe, grazie sicuramente al costo davvero irrisorio (circa 100 dollari), ma soprattutto per la sua ampia versatilità di utilizzo, nonché per le sue elevate prestazioni.

Tra le sue peculiarità si annovera quella di poter essere adoperato come downloader di altri ceppi malware. Come mostrato in figura, solo nel primo trimestre del 2019 il numero di utenti italiani colpiti da questo trojan, la cui firma virale è stata identificata con Trojan-PSW.Win32.Azorult, sono stati più di 2.000.

Diffusione del trojan AZORult nel mondo: in Italia sono oltre 2.000 gli utenti colpiti dal malware (fonte).

AZORult: i dettagli tecnici

Secondo i ricercatori di sicurezza di Kaspersky che ne hanno individuato le prime tracce fin dal mese di novembre del 2019, il malvertising usato per la diffusione del codice malevolo di AZORult sfrutta dunque l’onorabilità del servizio ProtonVPN, noto fornitore di servizi VPN (Virtual Private Network) ed e-mail open source incentrati sulla sicurezza sviluppati e gestiti dalla società svizzera Proton Technologies AG.

La campagna malevola sarebbe iniziata con la comparsa di un nuovo dominio protonvpn[.]Store che altro non è se non un finto sito Web clonato mediante un noto crawler open source HTTrack per richiamare in tutto e per tutto l’home page di ProtonVPN.

Il sito clone dell’home page ufficiale di ProtonVPN usato dai criminal hacker per diffondere la nuova variante di AZORult.

Quando la vittima finisce dirottata su questo sito fake attraverso le classiche tecniche di malvertising, viene indotta a scaricare il programma di installazione del finto ProtonVPN per Windows, che in realtà contiene un eseguibile utilizzato per attivare AZORult e inserire il computer infetto all’interno della botnet collegata al trojan.

WHITEPAPER
Una piattaforma, infinite comunicazioni. Come facilitare la collaborazione
Digital Transformation
Unified Communication & Collaboration

A quel punto, il codice malevolo inizia a raccogliere tutte le informazioni riservate dell’utente e a trasmetterle al server di comando e controllo, in ascolto in un sotto dominio del sito principale account[.]Protonvpn[.]Store.

AZORult è comunque un malware in continua evoluzione come già dimostrato nel corso dei mesi dello scorso anno in cui è apparsa in natura una variante scritta in linguaggio C++ e denominata per l’appunto AZORult ++. Questa versione aveva come caratteristiche principali quella di controllare prima della sua esecuzione effettiva la lingua del sistema colpito e la possibilità di eseguire una pericolosa connessione da desktop remoto.

Gli stessi ricercatori Kaspersky hanno rilasciato anche alcuni indicatori IoC utili per l’identificazione di AZORult:

Nome del file infettoHash MD5
ProtonVPN_win_v1.10.0.execc2477cf4d596a88b349257cba3ef356
ProtonVPN_win_v1.11.0.exe573ff02981a5c70ae6b2594b45aa7caaProton
VPN_win_v1.11.0.exec961a3e3bd646ed0732e867310333978
ProtonVPN_win_v1.11.0.exe2a98e06c3310309c58fb149a8dc7392c
ProtonVPN_win_v1.11.0.exef21c21c2fceac5118ebf088653275b4f
ProtonVPN_win_v1.11.0.exe0ae37532a7bbce03e7686eee49441c41
Sconosciuto974b6559a6b45067b465050e5002214b

Come difendersi

Quest’ultima campagna dimostra ulteriormente come l’interesse allo sviluppo e all’ampliamento delle funzionalità di questo malware non sia ancora placato e molto probabilmente dovremmo aspettarci ulteriori migliorie. Per contrastare queste tipologie di minacce occorre una condotta cautelativa.

Ecco alcuni consigli pratici:

  • prestare attenzione ai servizi online in uso memorizzando le credenziali in modo sicuro;
  • aggiornare sempre programmi ed antivirus secondo le ultime release disponibili;
  • scegliere delle soluzioni adeguate alla custodia delle password.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5