Gefälschte ProtonVPN-Software installiert Trojaner

von Matthias Wintsch

18. Februar 2020 - Der Azorult-Trojaner treibt derzeit sein Unwesen und Angreifer können von Login-Daten bis Kryptowährungen alles Mögliche vom Zielsystem abgreifen. Besonderes Augenmerk gilt dem Problem, weil sich Azorult mit einer besonders ausgefuchsten Kampagne weiterverbreitet: Getarnt als Client der verbreiteten ProtonVPN-Software.

Wie der Antivirus-Spezialist Kaspersky herausgefunden hat, läuft derzeit eine gefährliche Kampagne zur Verbreitung des Azorult-Trojaners. Das heikle daran: Benutzer fangen sich den Wurm derzeit vor allem über eine gefälschte Website und VPN-Software ProtonVPN des Schweizer Anbieters Proton Technologies ein. Diese wird über Online-Banners beworben (Malvertising) und führt auf die täuschend echt aussehende gefälschte Seite für von ProtonVPN, wo man sich den Trojaner mit der falschen Installationsdatei der VPN-Software einfängt. So sind die Geschädigten ironischerweise Benutzer, die sich um mehr Sicherheit im Netz sorgen und daher ein VPN-Tool nutzen wollen. Hat sich die Malware, ein sogenanntes Stealer-Programm, einmal im System festgesetzt, können die Angreifer eine Vielfalt an Objekten abgreifen, darunter auch Login-Daten und Kryptowährungen. Azorult gehört zu den beliebtesten dieser Stealer-Malwares unter russischen Hackern, wie es weiter heisst.

Die gefälschte Seite von Proton sei, abgesehen von der URL, tatsächlich genau gleich aufgebaut wie die Original-Page des richtigen Herstellers und dadurch besonders schwer zu erkennen. Kaspersky hat Proton über die Fälschung informiert und die Fake-Seite für Kaspersky-Nutzer gesperrt. Die meisten Infizierungen durch den Trojaner sind in Deutschland registriert worden, aber auch in der Schweiz infizierte die Malware eine bisher unbekannte Anzahl Rechner.

Copyright by Swiss IT Media 2020