AZORult, il malware che si spaccia per una nuova versione di ProtonVPN e ruba dati riservati: i dettagli

È in atto una campagna di malvertising che i criminal hacker usano per diffondere una variante di AZORult, un trojan che si nasconde dentro un finto installer del famoso tool di sicurezza ProtonVPN e il cui scopo è quello di rubare credenziali di posta elettronica ed FTP (memorizzate nel tool FileZilla), informazioni riservate, cookie e cronologie dei browser delle vittime.

In questa nuova versione del malware, inoltre, i criminal hacker hanno implementato alcune routine per carpire criptovalute da wallet installati in locale (tra cui Bitcoin, Electrum ed Etherium).

Il malware AZORult risulta essere uno dei trojan più acquistati e venduti sulle Darknet russe, grazie sicuramente al costo davvero irrisorio (circa 100 dollari), ma soprattutto per la sua ampia versatilità di utilizzo, nonché per le sue elevate prestazioni.

Tra le sue peculiarità si annovera quella di poter essere adoperato come downloader di altri ceppi malware. Come mostrato in figura, solo nel primo trimestre del 2019 il numero di utenti italiani colpiti da questo trojan, la cui firma virale è stata identificata con Trojan-PSW.Win32.Azorult, sono stati più di 2.000.

Diffusione del trojan AZORult nel mondo: in Italia sono oltre 2.000 gli utenti colpiti dal malware (fonte).

AZORult: i dettagli tecnici

Secondo i ricercatori di sicurezza di Kaspersky che ne hanno individuato le prime tracce fin dal mese di novembre del 2019, il malvertising usato per la diffusione del codice malevolo di AZORult sfrutta dunque l’onorabilità del servizio ProtonVPN, noto fornitore di servizi VPN (Virtual Private Network) ed e-mail open source incentrati sulla sicurezza sviluppati e gestiti dalla società svizzera Proton Technologies AG.

La campagna malevola sarebbe iniziata con la comparsa di un nuovo dominio protonvpn[.]Store che altro non è se non un finto sito Web clonato mediante un noto crawler open source HTTrack per richiamare in tutto e per tutto l’home page di ProtonVPN.

Il sito clone dell’home page ufficiale di ProtonVPN usato dai criminal hacker per diffondere la nuova variante di AZORult.

Quando la vittima finisce dirottata su questo sito fake attraverso le classiche tecniche di malvertising, viene indotta a scaricare il programma di installazione del finto ProtonVPN per Windows, che in realtà contiene un eseguibile utilizzato per attivare AZORult e inserire il computer infetto all’interno della botnet collegata al trojan.

A quel punto, il codice malevolo inizia a raccogliere tutte le informazioni riservate dell’utente e a trasmetterle al server di comando e controllo, in ascolto in un sotto dominio del sito principale account[.]Protonvpn[.]Store.

AZORult è comunque un malware in continua evoluzione come già dimostrato nel corso dei mesi dello scorso anno in cui è apparsa in natura una variante scritta in linguaggio C++ e denominata per l’appunto AZORult ++. Questa versione aveva come caratteristiche principali quella di controllare prima della sua esecuzione effettiva la lingua del sistema colpito e la possibilità di eseguire una pericolosa connessione da desktop remoto.

Gli stessi ricercatori Kaspersky hanno rilasciato anche alcuni indicatori IoC utili per l’identificazione di AZORult:

Come difendersi

Quest’ultima campagna dimostra ulteriormente come l’interesse allo sviluppo e all’ampliamento delle funzionalità di questo malware non sia ancora placato e molto probabilmente dovremmo aspettarci ulteriori migliorie. Per contrastare queste tipologie di minacce occorre una condotta cautelativa.

Ecco alcuni consigli pratici:

• prestare attenzione ai servizi online in uso memorizzando le credenziali in modo sicuro;
• aggiornare sempre programmi ed antivirus secondo le ultime release disponibili;
• scegliere delle soluzioni adeguate alla custodia delle password.