К вирусам, маскирующимся под приложения, мы уже начали привыкать, но чтобы целый VPN-сервис оказался подделкой, фейком для известного вируса AZORult? Наводит на мысль, что ЦА такого VPN то российские пользователи, лишенные с недавних пор VPN официально по закону. Однако, как мы увидим дальше, все обстоит ровно наоборот.
Двойное дно так называемого Pirate Chick VPN обнаружили два КБ-исследователя, Лоуренс Абрамс и Майкл Гиллеспи (MalwareHunter). Сообщается, что злоумышленники распространяли программу через фейковое обновление Adobe Flash Player и вредоносную рекламу. В последнем случае при переходе по ссылке человек попадал на типичную с виду продающую страницу, где помимо описания утилиты размещались FAQ, политика конфиденциальности и пользовательские соглашения.
Посетителю предлагалось скачать пробную версию утилиты на три месяца, что довольно типично для такого ПО. Исполняемые файлы также «выглядели убедительно», поскольку были подписаны сертификатом британской компании ATX International Limited.
Как утверждают специалисты, после открытия Pirate Chick VPN немедленно связывался с удаленным сервером, а затем загружал в папку %Temp% полезную нагрузку в виде .txt-файла и декодировал ее, превращая в исполняемый файл AZORult, который запускался в фоновом режиме.
Этот шпион, давно и хорошо знакомый АКБ, предназначен для кражи логинов и паролей, данных кредитных карт и криптокошельков, истории браузера, файлов cookie и других сведений. Любопытно, что в качестве одного из условий, при которых AZORult не запускается, хакеры прописали «если IP-адрес жертвы находится в России, Украине, Беларуси или Казахстане». Страшные Русские Хакеры, не иначе? Забавно, учитывая, что у нас как раз VPN запрещены.
Ранее Bleeping Computer предупреждал, что шифровальщики семейства STOP начали загружать похитителя информации Azorult; Minerva Labs обнаружили любопытную версию AZORult, которая маскируется под службу обновления сервисов Google и подписан действительным сертификатом; Неизвестные взломали учетную запись разработчиков криптовалюты Denarius на GitHub и внедрили в Windows-клиент проекта инфостилер AZORult; «Доктор Веб» обнаружил троян AZORult в программе для отслеживания изменения курсов криптовалют. Программа «скачивает, компилирует и исполняет исходный код, загруженный с личного аккаунта разработчика на Github», затем загружает AZORult. Вирус этой версии ворует личные данные, в том числе пароли от кошельков криптовалют, при этом актуальные курсы криптовалют действительно отображает.
Широкому распространению AZORult, по мнению экспертов, способствует наличие в дарквебе бесплатного сервиса по сборке исполняемых файлов зловреда для всех желающих.
Контекст про VPN: в конце марта 2018 года Роскомнадзор впервые направил VPN-сервисам официальные требования подключиться к государственной информационной системе (ФГИС) для ограничения доступа к запрещенным сайтам. В «расстрельном списке» были упомянуты: NordVPN, Hide My Ass!, Hola VPN, Openvpn, VyprVPN, ExpressVPN, TorGuard, IPVanish, Kaspersky Secure Connection и VPN Unlimited. При этом Openvpn является не сервисом, а программой для создания VPN-сетей. У сервисов было 30 рабочих дней на выполнение требования Роскомнадзора.
VyprVPN и NordVPN сразу заявили, что не собираются выполнять требования РКН, а TorGuard вообще решил убрать сервера из России. Из-за того, что в список также попала сверхпопулярная OpenVPN Inc. (протокол могут использовать до 90% всех платных VPN-сервисов), нас может ждать хоррор как с #Телеграм, часть вторая: т.е. будут падать сторонние сайты, мобильные банки, и все что угодно, кроме того места, куда Жаров целится.
