Aprovechan un servicio VPN para robar criptomoneda

13 marzo, 2020
8 Compartido 1,335 Visualizaciones

Una nueva campaña maliciosa utiliza una copia phishing de la web de un servicio VPN para difundir el troyano AZORult bajo la apariencia de un instalador de Windows.

La campaña, que comenzó a finales de noviembre de 2019 con el registro de un sitio web falso, está actualmente activa y se centra en el robo de información personal y de criptomoneda a los usuarios infectados. Esto demuestra que los ciberdelincuentes siguen a la caza de criptomonedas, pese a que los informes indiquen que el interés por este tipo de moneda ha disminuido.

AZORult es uno de los troyanos más comprados y vendidos en los foros rusos debido a su amplia gama de capacidades. Este troyano supone una grave amenaza para aquellos usuarios cuyos ordenadores puedan haber sido infectados, ya que es capaz de recopilar datos como el historial del navegador, las credenciales de acceso, las cookies, los archivos de las carpetas, los archivos del monedero de criptomonedas y puede utilizarse como cargador para descargar otros programas maliciosos.

De acuerdo con los datos de Kaspersky, en diciembre del pasado año el mayor número de infecciones se registró en Alemania (31.270), seguido de la Federación Rusa (18.091) y Francia (17.154). En ese mes en España se detectaron 5.002 infecciones, ocupando el puesto 12º en la lista mundial de infecciones en el mundo. El pasado mes de enero Alemania siguió a la cabeza de infecciones en el mundo (31.188), seguido de India (21.398), Vietnam (19.398), Francia (18.451) y Federación Rusa (15.494). España con 2.462 infecciones ocupó el puesto 13º de la lista mundial.

La privacidad es de vital importancia en la actualidad, y los servicios de VPN desempeñan un papel importante al proporcionar una protección adicional de los datos y una navegación segura por Internet. Sin embargo, los ciberdelincuentes se aprovechan de la creciente popularidad de las VPN haciéndose pasar por ellos, como es el caso de esta campaña de AZORult. En la campaña más reciente, los atacantes crearon una copia de la página web de un servicio VPN, de aspecto idéntico al original con la única excepción de un nombre de dominio diferente.

Los vínculos al dominio se difunden a través de anuncios en diferentes redes de banners, una práctica que también se llama «malvertizing» (publicidad maliciosa). La víctima visita el sitio web de phishing y se le pide que descargue un instalador VPN gratuito. Una vez que la víctima descarga un falso instalador VPN para Windows, instala un implante de la botnet AZORult. Tan pronto como el implante se ejecuta, recoge la información del entorno del dispositivo infectado y lo transmite al servidor. Finalmente, el atacante roba criptomonedas de las carteras disponibles localmente (Electrum, Bitcoin, Etherium, y otros), inicios de sesión de FTP, y sus contraseñas de FileZilla, credenciales de correo electrónico, información de los navegadores instalados localmente (incluyendo cookies), credenciales de WinSCP, Pidgin messenger y otros. 

Al descubrir la campaña, Kaspersky informó inmediatamente al servicio VPN y se bloqueó el sitio web falso.

«Esta campaña es un buen ejemplo de lo vulnerables que son nuestros datos personales hoy en día. Para protegerlos, los usuarios deben ser cautelosos y especialmente cuidadosos cuando navegan online. Este caso también muestra por qué se necesitan soluciones de ciberseguridad en cada dispositivo. Cuando se trata de copias de sitios web de phishing, es muy difícil para el usuario diferenciar entre una versión real y una falsa. Los ciberdelincuentes suelen sacar provecho de las marcas populares y no es probable que esta tendencia desaparezca», comenta Dmitry Bestuzhev, director de GREAT en América Latina. «Recomendamos encarecidamente el uso de VPN para la protección del intercambio de datos en la web, pero también es importante comprobar atentamente de dónde se descarga el software de VPN«.

Para reducir el riesgo de infección por troyanos como AZORult, Kaspersky recomienda a los usuarios:

    • Comprobar si la página web es auténtica. No visitar sitios web hasta estar seguros de que son legítimos y empiecen con ‘https’. Confirmar que el sitio web es auténtico comprobando el formato de la URL o la ortografía del nombre de la empresa, leyendo las críticas al respecto y comprobando los datos de registro del dominio antes de iniciar las descargas.
    • Almacenar las criptomonedas en monederos no conectados a Internet (cold wallets) para minimizar el riesgo del robo de fondos.
    • Intentar mantener las contraseñas y otra información personal, incluyendo la clave privada de la cartera, en un administrador de contraseñas, como el Kaspersky Password Manager. La aplicación almacena sus datos de forma segura en un repositorio privado y encriptado. 

 

 

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

El papel de la ciberseguridad en los casinos en línea
Actualidad
7 compartido1,274 visualizaciones
Actualidad
7 compartido1,274 visualizaciones

El papel de la ciberseguridad en los casinos en línea

Redacción - 21 abril, 2020

Las películas sobre robots y casinos son todas clásicas en la historia del cine. Con los años, hay muchas películas sobre…

“Nada es más importante que la privacidad de las personas que usan nuestra plataforma”
Actualidad
8 compartido930 visualizaciones
Actualidad
8 compartido930 visualizaciones

“Nada es más importante que la privacidad de las personas que usan nuestra plataforma”

Vicente Ramírez - 18 mayo, 2018

Carolyn Everson, Vicepresidenta de Marketing de Facebook,  habló sobre el escándalo de Cambridge Analytica y Facebook durante la última edición…

El phishing sigue siendo la amenaza más extendida y con una clara tendencia a la sofisticación
Security Breaches
21 compartido2,282 visualizaciones
Security Breaches
21 compartido2,282 visualizaciones

El phishing sigue siendo la amenaza más extendida y con una clara tendencia a la sofisticación

Vicente Ramírez - 23 mayo, 2019

Para el fabricante, la única forma de detenerlo es formar a los empleados y ofrecerles herramientas educativas y soluciones tecnológicas…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.