Egy népszerű VPN-szolgáltatás webhelyének adathalász másolata segítségével, Windows-telepítő álcája alatt terjesztik támadók az AZORult adatlopó trójai vírust. A Kaspersky kutatói szerint a fenyegetettségben a magyar felhasználók is egyre nagyobb mértékben érintettek. 

2019 novemberében indult az a weboldal, ami jelenleg is aktív, a célja pedig személyes adatok és kriptovaluta lopása a fertőzött felhasználóktól. 

A legmagasabb számot januárban mérték, amikor az egy felhasználói eszközre eső támadások száma meghaladta a 750-et. Az AZORult egyike az orosz fórumokon legnagyobb adásvételi forgalmat bonyolító adatlopó vírusoknak. Képes a különféle adatok – többek között a böngészési előzmények, a bejelentkezési hitelesítési adatok, a cookie-k, a mappákban tárolt fájlok, a kriptopénztárca-fájlok – begyűjtésére, ráadásul betöltőként is használható más malware-ek letöltéséhez.

Egyre növekszik a VPN-szolgáltatások népszerűsége, pont az adatok védelme és a biztonságos internetes böngészés miatt, a támadók viszont leutánozzák őket, elkészítik egy VPN-szolgáltatás weboldalának másolatát, ami pontosan úgy néz ki, mint az eredeti oldal, azzal az egyetlen eltéréssel, hogy más a tartományneve. A tartományra mutató hivatkozásokat hirdetésekben terjesztik különféle bannerhálózatokon keresztül. Az oldal arra kéri a felhasználót, hogy töltse le a szoftvert,  ami egy  AZORult botnet-szoftvert helyez el a gépén. Amikor a szoftver futni kezd, begyűjti a fertőzött eszköz környezeti adatait, és jelenti azokat a szerver felé.