冒牌VPN被用来传播恶意软件

VPN是保障远程分支和远程办公网络安全的关键技术，但是近年来网络犯罪分子开始热衷于假冒致命VPN品牌投放恶意软件。

近日，据卡巴斯基报道，ProtonVPN成了被网络不法分子滥用的网络安全软件提供商中的一员，，不法分子假冒ProtonVPN产品传播传播恶意软件。

从“官方”域名下手

卡巴斯基研究员Dmitry Bestuzhev周二（2月18日）透露，2016年在俄罗斯地下论坛上首次发现的数据窃取木马软件AZORult Trojan 近日成为一场攻击活动的主角，该攻击活动滥用了虚拟专用网服务提供商ProtonVPN的品牌。

Bestuzhev表示，对ProtonVPN品牌的攻击浪潮始于2019年11月，网络罪犯注册了域名protonvpn.store。(安全牛点评：这次攻击暴露了另外一个风险，近年来ICANN批准的新域名网址后缀五花八门，很多企业未能及时关注并保护与企业品牌相关的域名地址)

访问该假冒网站的受害者会下载伪装成ProtonVPN合法安装程序的恶意软件，安装后会在电脑中部署AZORult木马。

该木马程序会收集系统信息，并将此数据发送到攻击者操作的命令和控制服务器。

据Bestuzhev介绍：该木马的传播主要通过恶意广告，因此防范该木马的第一件事就是不要点击网络广告，尤其是搜索安装软件的时候，不要通过点击网络广告来下载软件。

“品牌化”攻击

ProtonVPN只是众多被网络犯罪分子用来欺骗用户下载恶意软件的众多供应商之一。

这样的骗局已经存在多年了。

早些年，不法分子主要利用用户的恐惧和对技术的不了解，通过弹窗广告实施攻击，例如网站上冷不丁弹出的“您的电脑已经感染了病毒”、“您的系统处于危险中”之类的“杀毒软件”弹窗警告，诱使用户下载伪装成合法杀毒软件的恶意软件。

这些流氓/恶意软件可以下载其他恶意负载，从事间谍软件活动，或者或禁用合法的防病毒保护。

但是，近年来随着用户安全意识的提高，不法分子开始假冒可信赖的网络安全品牌作为其主要攻击手段，并逐渐成为主流。

假冒VPN成热门攻击手段

根据报告，随着VPN越来越流行，每月约有 17％的台式机，15％的移动设备和7％的平板电脑用户访问VPN。随着用户数量的不断增加，一些知名VPN品牌，例如ProtonVPN，NordVPN和VPN Pro都遭受了此类骗局。

甚至包括Microsoft，McAfee，ESET，Kaspersky和Symantec等在内的知名网络安全供应商的品牌也被不法分子用来欺骗用户下载间谍软件、流氓软件、勒索软件和数据窃取软件。

ProtonVPN的创始人兼首席执行官Andy Yen表示，用户可以通过访问官方渠道下载软件来保护自己免受这些欺诈。（但是，这就好比一把手电筒需要另一把手电筒照射才能点亮）

在下载应用程序之前，用户应当仔细检查核实网站地址，应用程序名称和应用程序开发人员，以确保其真实性。

参考资料：

卡巴斯基安全博客：

https://securelist.com/azorult-spreads-as-a-fake-protonvpn-installer/96261/

相关阅读

https://www.aqniu.com/industry/59522.html