Gefälschte ProtonVPN-Software installiert Trojaner

Wie der Antivirus-Spezialist Kaspersky herausgefunden hat, läuft derzeit eine gefährliche Kampagne zur Verbreitung des Azorult-Trojaners. Das heikle daran: Benutzer fangen sich den Wurm derzeit vor allem über eine gefälschte Website und VPN-Software ProtonVPN des Schweizer Anbieters Proton Technologies ein. Diese wird über Online-Banners beworben (Malvertising) und führt auf die täuschend echt aussehende gefälschte Seite für von ProtonVPN, wo man sich den Trojaner mit der falschen Installationsdatei der VPN-Software einfängt. So sind die Geschädigten ironischerweise Benutzer, die sich um mehr Sicherheit im Netz sorgen und daher ein VPN-Tool nutzen wollen. Hat sich die Malware, ein sogenanntes Stealer-Programm, einmal im System festgesetzt, können die Angreifer eine Vielfalt an Objekten abgreifen, darunter auch Login-Daten und Kryptowährungen. Azorult gehört zu den beliebtesten dieser Stealer-Malwares unter russischen Hackern, wie es weiter heisst.

Die gefälschte Seite von Proton sei, abgesehen von der URL, tatsächlich genau gleich aufgebaut wie die Original-Page des richtigen Herstellers und dadurch besonders schwer zu erkennen. Kaspersky hat Proton über die Fälschung informiert und die Fake-Seite für Kaspersky-Nutzer gesperrt. Die meisten Infizierungen durch den Trojaner sind in Deutschland registriert worden, aber auch in der Schweiz infizierte die Malware eine bisher unbekannte Anzahl Rechner.