新的AZORult攻击行动滥用流行的VPN服务来窃取加密货币

由于功能强大，使得AZORult成为俄罗斯论坛上最常被买卖的窃取器之一。这种木马对那些计算机已经被感染的用户造成了严重威胁，因为它能够收集各种数据，包括浏览器历史、登录凭证、cookie、文件夹文件和加密钱包文件，还可以用作加载程序来下载其他恶意软件。

在一个隐私被大量争夺的世界里，VPN服务通过增强数据保护和确保安全的浏览互联网，扮演者重要的角色。然而，网络罪犯试图通过假冒VPN来滥用日益流行的VPN，就像这次的AZORult攻击行动一样。在最近的攻击活动中，攻击者创建了一个VPN服务网站的副本，该网站的外观与原始网站完全相同，唯一的区别是域名不同。

被攻击的VPN服务网站的网络钓鱼副本截图

指向该域名的链接通过不同的横幅网络广告进行传播，这种做法也被称为“恶意广告”。受害者访问这种钓鱼网站时，会被提示下载一款免费的VPN安装程序。一旦受害者下载了假冒的VPN安装程序，就会被植入AZORult僵尸网络程序。一旦被植入的恶意程序开始运行，会收集受感染设备的环境信息，并将其上报给服务器。最后，攻击者从本地可用的钱包（电子钱包、比特币、Etherium 等）、FTP 登录名及其密码（FileZilla、电子邮件凭据、本地安装的浏览器（包括 Cookie）的信息中窃取加密货币，还会窃取来自 WinSCP、Pidgin 信使和其他应用的信息。

发现这些攻击行动后，卡巴斯基立即通知了相关VPN服务并拦截了假冒的网站。

“这次的攻击行动是一个很好的例子，说明了当今我们的个人数据有多脆弱。为了保护个人数据，用户需要保持警惕，特别是在网上冲浪时。本案例还说明了为什么每台设备都需要网络安全解决方案。在面临钓鱼网站时，用户很难区分真正的网站和假冒的网站。网络罪犯经常利用流行品牌来实施攻击，而且这种趋势不太可能会消失，”拉丁美洲全球研究和分析团队负责人Dmitry Bestuzhev评论说：“我们强烈建议使用 VPN 保护网络上的数据交换，但自诩研究从哪里下载 VPN 软件也很重要。”

卡巴斯基将这种威胁检测为HEUR:Trojan-PSW.Win32.Azorult.gen

更多有关AZORult攻击行动的详情，请访问Securelist.com.

为了降低感染木马窃取器（如AZORult）的风险，卡巴斯基建议用户：

• 检查网站是否是真实的。在确保网站是合法并以“https”开头之前，不要访问网站。在开始下载之前，请仔细检查URL的格式或公司名称的拼写，阅读有关评论并检查域的注册数据，以确认该网站是正版网站
• 将加密货币存储在冷钱包（未连接到互联网的钱包中），以尽量减少资金被盗的风险
• 尽量将您的密码和其他个人信息（包括钱包的私匙等）保存在密码管理器中，例如卡巴斯基密码管理器。这种应用能够将您的数据安全地存储在加密的保险库中
• 使用一款可靠的安全解决方案，例如卡巴斯基安全云。这类解决方案能够保护您的设备抵御各类威胁，包括钓鱼攻击。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己，我们还帮助全球270,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com.