Questo blog spiega come il tentativo di fare la «cosa giusta» possa condurti dritto in una trappola. Alcune persone alla ricerca di una VPN per scaricare un malware in grado di rubare le credenziali.
Dal punto di vista della vittima, la sua fiducia è stata sfruttata in ogni fase: la fiducia nei motori di ricerca, nei loghi familiari, nelle firme digitali e nel presupposto che, se alla fine le cose «funzionano», devono essere sicure.
Immagina di essere alla ricerca di un VPN per collegarti alla rete del tuo datore di lavoro. Utilizzi il tuo motore di ricerca preferito e, in cima ai risultati, trovi esattamente ciò che stavi cercando: inserzioni che sembrano appartenere a nomi affermati del settore. Hanno il logo giusto, il nome del prodotto corretto e una descrizione che sembra attendibile.
Ma ciò a cui si assiste, nei casi descritti da Microsoft, sono risultati di ricerca influenzati dal SEO poisoning. Il SEO poisoning consiste nel far sì che una pagina web ottenga un posizionamento elevato nei risultati di ricerca pertinenti senza acquistare annunci pubblicitari né seguire le best practice SEO legittime, ma faticose. Al contrario, i criminali informatici ricorrono a mezzi ingannevoli o addirittura illegali per portare le loro pagine in cima alla classifica.
Sulla versione contraffatta — forse addirittura clonatoVPN : tutto sembra familiare: il marchio del fornitore, il nome del prodotto e una breve descrizione sull’accesso remoto sicuro. Ma soprattutto, c’è un Download ben visibile. Clicchi, aspettandoti un programma di installazione da un fornitore affidabile, ma il sito ti reindirizza silenziosamente alla pagina download di una versione su GitHub download offrendoti un file ZIP dal nome simile a VPN-CLIENT.zip.
GitHub è uno dei canali di distribuzione preferiti dagli autori di malware perché gode di ampia fiducia. In questa campagna, i criminali hanno persino firmato il loro file con un certificato legittimo, che nel frattempo è stato revocato. Il file ZIP scaricato contiene un file Microsoft Software Installer (.msi) che guida la vittima attraverso la consueta procedura di installazione («Installa», «Avanti», «Avanti», «Fine»), mentre durante l'installazione vengono caricati lateralmente file DLL (librerie di collegamento dinamico) dannosi.
Una di quelle DLL, dwmapi.dll, funge da caricatore, avviando uno shellcode incorporato che a sua volta viene eseguito inspector.dll, una variante dell'irace programma per il furto di informazioni. Una volta completata l'installazione, VPN tuo VPN non è solo un client, ma anche un ladro di credenziali.
Quando inizi a utilizzare VPN tua nuova VPN, si verificano diverse cose in rapida successione:
- VPN fasullo intercetta il nome utente, la password e l'URI di destinazione, e trasmette questi dati al componente Hyrax infostealer.
- Hyrax legge anche i dati VPN esistenti, raccogliendo tutte le connessioni memorizzate e le credenziali salvate.
- Il malware invia tutte le informazioni rubate a un'infrastruttura controllata dall'autore dell'attacco.
Tutto ciò che l'utente vede è un messaggio di errore che sembra plausibile, come «connessione fallita» o «problema di installazione». Come se non bastasse, il malware fornisce istruzioni per download VPN legittimo da fonti ufficiali. In alcuni casi, apre addirittura il browser dell'utente sul VPN reale VPN . Tutto questo, ovviamente, per dissipare ogni sospetto.
Il resto avviene sulla rete dell'azienda. L'autore dell'attacco può ora accedere alla VPN aziendale VPN te, da un'infrastruttura sotto il suo controllo, e confondersi immediatamente con il normale traffico di accesso remoto. Se il tuo account ha accesso a condivisioni di file, pannelli di amministrazione interni, sistemi di ticket o servizi cloud, l'autore dell'attacco può iniziare a esplorare o a sfruttare queste risorse.
Come evitare VPN fasulli
Ora che sai cosa cercare, sei già un passo avanti. Ecco alcuni consigli generali per stare al sicuro:
- Non fidarti mai solo dei risultati di ricerca, soprattutto quando si tratta di software di sicurezza. Vai direttamente al sito web del produttore.
- Controlla attentamente il dominio prima di effettuare il download. Ti trovi ancora sul sito del fornitore o su una piattaforma affidabile? Se necessario, verifica il download con il tuo reparto IT.
- Segnalare al reparto IT VPN "non riuscite". Non continuare a riprovare. Un errore imprevisto seguito da un reindirizzamento dovrebbe far scattare un campanello d'allarme.
- Non conservare VPN aziendale nei gestori di password personali o nei browser.
Se hai mai installato un VPN da un sito non attendibile o da un dominio insolito, considera che VPN tue VPN potrebbero essere state compromesse e richiedi un ripristino.
Non ci limitiamo a segnalare la privacy, ma vi offriamo la possibilità di utilizzarla.
I rischi per Privacy non dovrebbero mai andare oltre un titolo di giornale. Mantenete la vostra privacy online utilizzando Malwarebytes Privacy VPN.
