Este blog trata sobre cómo intentar hacer «lo correcto» puede llevarte directamente a una trampa. Unas personas que buscaban una VPN descargando un malware que les robó sus credenciales.
Desde el punto de vista de la víctima, se abusó de su confianza en todo momento: confianza en los motores de búsqueda, en logotipos conocidos, en las firmas digitales y en la suposición de que, si «al final todo funciona», debe de ser seguro.
Imagina que estás buscando un VPN para conectarte a la red de tu empresa. Utilizas tu motor de búsqueda favorito y, en los primeros puestos de los resultados, ves exactamente lo que buscabas: anuncios que parecen pertenecer a marcas consolidadas del sector. Tienen el logotipo adecuado, el nombre correcto del producto y una descripción que parece fiable.
Pero lo que estás viendo, en los casos que describe Microsoft, son resultados de búsqueda afectados por el «envenenamiento SEO». El «envenenamiento SEO» (optimización para motores de búsqueda) consiste en conseguir que una página web ocupe un puesto destacado en los resultados de búsqueda relevantes sin comprar anuncios ni seguir las prácticas recomendadas de SEO, que son legítimas pero tediosas. En su lugar, los ciberdelincuentes utilizan medios engañosos o directamente ilegales para aupar sus páginas a los primeros puestos.
En el falso —quizás incluso clonado—VPN , todo resulta familiar: la marca del proveedor, el nombre del producto y una breve descripción sobre el acceso remoto seguro. Y lo más importante: hay un botón de «Descargar» bien visible. Haces clic, esperando encontrar un instalador de un proveedor de confianza, pero el sitio te redirige discretamente a una descarga de GitHub, donde te ofrece un archivo ZIP con un nombre del tipo VPN-CLIENT.zip.
GitHub es uno de los canales de distribución preferidos por los autores de malware debido a la gran confianza que inspira. En esta campaña, los delincuentes llegaron incluso a firmar su archivo con un certificado legítimo, que posteriormente ha sido revocado. El archivo ZIP descargado contiene un archivo del Instalador de software de Microsoft (.msi) que guía a la víctima a través del proceso habitual de «Instalar», «Siguiente», «Siguiente» y «Finalizar», al tiempo que instala de forma paralela archivos maliciosos de biblioteca de enlaces dinámicos (DLL) durante la instalación.
Una de esas DLL, dwmapi.dll, actúa como cargador, ejecutando código shell incrustado que, a su vez, ejecuta inspector.dll, una variante del damán programa de robo de información. Desde el momento en que finaliza la instalación, tu VPN no es solo un cliente, sino también un ladrón de credenciales.
Cuando empiezas a usar tu nueva VPN, suceden varias cosas en rápida sucesión:
- VPN falso captura tu nombre de usuario, contraseña y URI de destino, y transmite estos datos al componente Hyrax de robo de información.
- Hyrax también lee los datos VPN existentes, recopilando todas las conexiones almacenadas y las credenciales guardadas.
- El malware envía toda la información robada a una infraestructura controlada por los atacantes.
Lo único que ve el usuario es un mensaje de error que parece verosímil, como «error de conexión» o «problema de instalación». Por si fuera poco, el malware ofrece instrucciones para descargar el VPN legítimo desde fuentes oficiales. En algunos casos, incluso abre el navegador del usuario en la VPN real VPN . Todo ello, por supuesto, para disipar las sospechas.
El resto ocurre en la red de la empresa. El atacante puede ahora iniciar sesión en la VPN corporativa VPN ti, desde una infraestructura que controla, y mezclarse inmediatamente con el tráfico normal de acceso remoto. Si tu cuenta tiene acceso a recursos compartidos, paneles de administración internos, sistemas de gestión de incidencias o servicios en la nube, el atacante puede empezar a explorar o a hacer un uso indebido de estos recursos.
Cómo evitar VPN falsos
Ahora que ya sabes en qué fijarte, vas un paso por delante. Aquí tienes algunos consejos generales más para mantenerte a salvo:
- No te fíes solo de los resultados de búsqueda, sobre todo cuando se trata de software de seguridad. Ve directamente a la página web del fabricante.
- Comprueba bien el dominio antes de descargar. ¿Sigues en la página web del proveedor o en una plataforma de confianza? Si es necesario, verifica el enlace de descarga con tu departamento de TI.
- Informa al departamento de TI VPN que «han fallado». No sigas intentándolo. Un fallo inesperado seguido de una redirección debería ser motivo de alerta.
- No guardes VPN de la empresa en gestores de contraseñas personales ni en navegadores.
Si alguna vez has instalado un VPN desde un sitio web no fiable o un dominio poco habitual, da por hecho que tus VPN podrían estar en peligro y solicita que se restablezcan.
No nos limitamos a informar sobre la privacidad: le ofrecemos la opción de utilizarla.
Los riesgos Privacy nunca deben ir más allá de un titular. Mantenga su privacidad en línea utilizando Malwarebytes Privacy VPN.
