Alerta

Kaspersky identifica trojan ladrão de criptomoedas

criptomoeda

O trojan AZORult aproveita um serviço VPN para roubar criptomoedas e outros dados pessoais

A Kaspersky anunciou ter detetado uma nova campanha de malware que utiliza um website de phishing que surge como uma cópia de um conhecido serviço VPN (Rede Privada Virtual). Segundo os investigadores da empresa de segurança, o objetivo deste malware é difundir o trojan AZORult sob a “aparência” de um instalador para Windows.

A ameaça começou em finais de novembro de 2019, com o registo do falso website, estando atualmente ativa e focando-se no roubo de informações pessoais e criptomoedas dos utilizadores.

Segundo a Kaspersky, isto significa que os hackers continuam à caça de criptomoedas, embora os relatórios sobre esta atividade maliciosa tenham concluído que o seu interesse havia diminuído.

AZORult é um dos malware mais vendidos e comprados nos fóruns russos online devido à sua ampla gama de capacidades. Este trojan representa uma grande ameaça para os utilizadores cujos computadores são infetados, uma vez que é capaz de recolher dados como o histórico do navegador, as senhas de acesso, cookies, ficheiros de pastas, carteiras eletrónicas de criptomoedas, podendo ainda ser utilizado como “carregador” para fazer o download de outros malware.

Portugal não está entre os países com maior número de infeções provocadas por este Cavalo de Tróia, tendo ficado, em média, abaixo da posição nº 30 numa lista mundial com cerca de 200 países, ao longo do último ano.

Os hackers estão a aproveitar-se da crescente popularidade dos serviços VPN para criarem cópias semelhantes que funcionam como armadilhas para os utilizadores, como é exemplo a campanha AZORult. Em concreto, os atacantes criaram uma réplica do website de um serviço VPN, cujo aspeto era idêntico ao original, com uma única exceção: o nome do domínio era diferente.

Os links para o falso domínio são difundidos através de anúncios em diferentes redes de banners, uma prática que é conhecida como malvertising. Quando o utilizador visita o website de phishing, é-lhe solicitado que descarregue um instalador de VPN gratuito.

Assim que o download é feito para o Windows, o instalador liberta um implante de AZORult que, uma vez executado, recolhe informações do ambiente do dispositivo infetado e transmite-as ao servidor. É assim que o hacker consegue intercetar criptomoedas (Electrum, Bitcoin, Etherium, entre outras), logins de FTP, senhas do FileZilla, acessos de correio eletrónico, cookies, entre outros dados.

Assim que a Kaspersky detetou esta campanha de malware, informou de imediato o serviço de VPN afetado e bloqueou o website falso, explica em comunicado.