Des pirates clonent le site du service suisse ProtonVPN pour disséminer un puissant malware
Des cybercriminels ont créé une copie du site officiel de ProtonVPN, service proposé par l’éditeur genevois de Protonmail. L'objectif est de faire télécharger un faux installateur du VPN afin d'infecter l'ordinateur des victimes avec le cheval de Troie Azorult.
Les produits de Protonmail sont visiblement attrayants pour les pirates désirant tromper les utilisateurs afin de les hacker. On se souvient qu’en été 2019, une attaque par phishing détournant le service mail ultra sécurisé basé à Genève a ciblé des journalistes enquêtant sur des affaires impliquant la Russie. Un nom de domaine en .ch hébergeait un faux site Protonmail.
Selon la firme de cybersécurité Kaspersky, des hackers ont cette fois cloné le site web officiel d’un autre service de la start-up suisse, en l'occurrence ProtonVPN, disponible depuis 2017. L’objectif des criminels est de faire télécharger de faux installateurs du logiciel VPN.
Pour créer une réplique crédible du site officiel, les hackers auraient fait appel à HTTrack, un logiciel open source permettant de copier un site web. Fin novembre, les pirates ont hébergé leur site sur le nom de domaine protonvpn[.]store via un registrar russe. Selon Kaspersky, au moins un des vecteurs d'infection passe par des réseaux de bannières d'affiliation (malvertising). «Lorsque la victime visite un site web contrefait et télécharge un faux installateur ProtonVPN pour Windows, elle reçoit une copie de l'implant du botnet Azorult», précise l'éditeur d’antivirus sur son blog Securelist. Une fois installé, ce cheval de Troie d'accès à distance peut recueillir des informations sensibles telles que des mots de passe, des informations financières ou une historique de navigation.
