Este malware é conhecido e vendido principalmente nos fóruns russos por um preço maior ($100), devido à sua elevada capacidade de persistência.

Neste caso, o que acontece é que os atacantes criaram um site exatamente igual ao do ProtonVPN usando o software HTTrack, gratuito, e criaram um pacote de instalação para comprometer os utilizadores do Windows.

A campanha iniciou em novembro de 2019, sendo que os atacantes registaram o domínio com o nome protonvpn{.}.store, e o Registrar usado é da Rússia.

Como vetores de infeção

Os atacantes usaram essencialmente banners de afiliados, técnica também conhecida por Malvertising.

Desta forma, assim que o utilizador vitima a página, é infetado, e é feito o download do instalador falso, recebendo dessa forma uma cópia do implante da botnet do Azorult.

Depois de se instalar no sistema, o malware recolha dados do mesmo e partilha com o atacante por um servidor de comando e controlo (C&C), localizado no mesmo servidor que o domínio registado.

São os indicadores de comromisso:

ProtonVPN_win_v1.10.0.exe cc2477cf4d596a88b349257cba3ef356 ProtonVPN_win_v1.11.0.exe 573ff02981a5c70ae6b2594b45aa7caa ProtonVPN_win_v1.11.0.exe c961a3e3bd646ed0732e867310333978 ProtonVPN_win_v1.11.0.exe 2a98e06c3310309c58fb149a8dc7392c ProtonVPN_win_v1.11.0.exe f21c21c2fceac5118ebf088653275b4f ProtonVPN_win_v1.11.0.exe 0ae37532a7bbce03e7686eee49441c41 Unknown 974b6559a6b45067b465050e5002214b

Mais informações: https://www.bleepingcomputer.com/news/security/azorult-malware-infects-victims-via-fake-protonvpn-installer/