In diesem Blog geht es darum, wie der Versuch, das „Richtige“ zu tun, einen direkt in eine Falle führen kann. Menschen, die nach einem VPN suchten, luden VPN Malware herunter, die ihre Zugangsdaten stahl.
Aus Sicht der Opfer wurde ihr Vertrauen in jeder Phase ausgenutzt: das Vertrauen in Suchmaschinen, in vertraute Logos, in digitale Signaturen und in die Annahme, dass etwas sicher sein muss, wenn es „am Ende funktioniert“.
Stellen Sie sich vor, Sie suchen nach einem VPN , um sich mit dem Netzwerk Ihres Arbeitgebers zu verbinden. Sie nutzen Ihre bevorzugte Suchmaschine und sehen ganz oben in den Suchergebnissen genau das, wonach Sie gesucht haben: Einträge, die so aussehen, als gehörten sie zu etablierten Namen der Branche. Sie haben das richtige Logo, den richtigen Produktnamen und eine Beschreibung, die seriös klingt.
In den von Microsoft beschriebenen Fällen handelt es sich jedoch um Suchergebnisse, die durch SEO-Poisoning beeinflusst wurden. Bei SEO-Poisoning (Search Engine Optimization) geht es darum, eine Webseite in den relevanten Suchergebnissen ganz oben zu platzieren, ohne Anzeigen zu schalten oder die legitimen, aber mühsamen SEO-Best-Practices zu befolgen. Stattdessen nutzen Cyberkriminelle irreführende oder sogar illegale Methoden, um ihre Seiten an die Spitze zu bringen.
Auf dem gefälschten – vielleicht sogar geklont—AufVPN sieht alles vertraut aus: das Markenlogo des Anbieters, der Produktname und eine kurze Beschreibung zum sicheren Fernzugriff. Vor allem aber gibt es einen gut sichtbaren Download-Button. Man klickt darauf und erwartet ein Installationsprogramm von einem seriösen Anbieter, doch die Seite leitet einen stattdessen stillschweigend zu einem GitHub-Release-Download weiter und bietet eine ZIP-Datei an, deren Name in etwa so lautet wie VPN-CLIENT.zip.
GitHub ist ein beliebter Verbreitungskanal für Malware-Autoren, da er großes Vertrauen genießt. Bei dieser Kampagne haben die Kriminellen ihre Datei sogar mit einem legitimen Zertifikat signiert, das inzwischen widerrufen wurde. Die heruntergeladene ZIP-Datei enthält eine Microsoft Software Installer-Datei (.msi), die das Opfer durch den üblichen Installationsablauf („Installieren“, „Weiter“, „Weiter“, „Fertigstellen“) führt, während während der Installation bösartige DLL-Dateien (Dynamic Link Library) seitlich geladen werden.
Eine dieser DLLs, dwmapi.dll, fungiert als Loader und startet eingebetteten Shellcode, der wiederum ausgeführt wird inspector.dll, eine Unterart des Klippschliefer DatendiebSobald die Installation abgeschlossen ist, ist Ihr VPN nicht mehr nur ein Client, sondern auch ein Dieb von Zugangsdaten.
Wenn Sie Ihr neues VPN zum ersten Mal nutzen, laufen mehrere Vorgänge kurz nacheinander ab:
- Der gefälschte VPN erfasst Ihren Benutzernamen, Ihr Passwort und die Ziel-URI und leitet diese Daten an die Hyrax-Infostealer-Komponente weiter.
- Hyrax liest zudem vorhandene VPN aus und erfasst dabei alle gespeicherten Verbindungen und Anmeldedaten.
- Die Malware sendet alle gestohlenen Daten an eine vom Angreifer kontrollierte Infrastruktur.
Der Nutzer sieht lediglich eine glaubwürdig klingende Fehlermeldung wie „Verbindung fehlgeschlagen“ oder „Installationsproblem“. Zu allem Überfluss enthält die Malware Anweisungen zum Herunterladen des legitimen VPN aus offiziellen Quellen. In manchen Fällen öffnet sie sogar den Browser des Nutzers und leitet ihn auf die echte VPN weiter. All dies dient natürlich dazu, den Verdacht zu zerstreuen.
Der Rest spielt sich im Netzwerk des Arbeitgebers ab. Der Angreifer kann sich nun von einer ihm kontrollierten Infrastruktur aus VPN Sie in das VPN einloggen und sich sofort unter den normalen Fernzugriffsdatenverkehr mischen. Wenn Ihr Konto Zugriff auf Dateifreigaben, interne Admin-Panels, Ticket-Systeme oder Cloud-Dienste hat, kann er damit beginnen, diese Ressourcen zu erkunden oder zu missbrauchen.
So vermeiden Sie gefälschte VPN
Da Sie nun wissen, worauf Sie achten müssen, sind Sie schon einen Schritt voraus. Hier sind noch einige allgemeine Tipps für Ihre Sicherheit:
- Verlassen Sie sich niemals allein auf Suchergebnisse, insbesondere nicht bei Sicherheitssoftware. Besuchen Sie direkt die Website des Anbieters.
- Überprüfen Sie die Domain vor dem Herunterladen noch einmal. Befinden Sie sich noch auf der Website des Anbieters oder auf einer vertrauenswürdigen Plattform? Lassen Sie den Download-Link gegebenenfalls von Ihrer IT-Abteilung überprüfen.
- Melden Sie „fehlgeschlagene“ VPN an die IT-Abteilung. Versuchen Sie es nicht erneut. Ein unerwarteter Fehler, auf den eine Weiterleitung folgt, sollte Sie stutzig machen.
- Speichern Sie keine VPN in privaten Passwort-Managern oder Browsern.
Wenn Sie jemals einen VPN von einer nicht vertrauenswürdigen Website oder einer ungewöhnlichen Domain installiert haben, sollten Sie davon ausgehen, dass Ihre VPN kompromittiert sein könnten, und eine Zurücksetzung beantragen.
Wir berichten nicht nur über den Datenschutz - wir bieten Ihnen auch die Möglichkeit, ihn zu nutzen.
Risiken für Privacy sollten nie über eine Schlagzeile hinausgehen. Schützen Sie Ihre Online-Privatsphäre mit Malwarebytes Privacy VPN.
