Deze blog gaat over hoe het streven naar het ‘juiste’ je rechtstreeks in een valkuil kan leiden. Mensen die op zoek waren naar een VPN , downloadden VPN malware die hun inloggegevens stal.
Vanuit het perspectief van het slachtoffer werd er bij elke stap misbruik gemaakt van hun vertrouwen: vertrouwen in zoekmachines, in bekende logo’s, in digitale handtekeningen en in de veronderstelling dat als dingen ‘uiteindelijk werken’, ze wel veilig moeten zijn.
Stel je voor dat je op zoek bent naar een VPN om verbinding te maken met het netwerk van je werkgever. Je gebruikt je favoriete zoekmachine en bovenaan de zoekresultaten zie je precies wat je zocht: vermeldingen die eruitzien alsof ze van gerenommeerde bedrijven in de branche afkomstig zijn. Ze hebben het juiste logo, de juiste productnaam en een beschrijving die betrouwbaar klinkt.
Maar wat je in de door Microsoft beschreven gevallen ziet, zijn zoekresultaten die zijn beïnvloed door SEO-vergiftiging. Bij SEO-vergiftiging (Search Engine Optimization) gaat het erom een webpagina hoog te laten scoren in relevante zoekresultaten zonder advertenties te kopen of de legitieme, maar omslachtige beste praktijken op het gebied van SEO te volgen. In plaats daarvan gebruiken cybercriminelen misleidende of ronduit illegale middelen om hun pagina’s naar de top te duwen.
Op de vervalste – misschien zelfs gekloondVPN , alles ziet er bekend uit: de huisstijl van de leverancier, de productnaam en een korte beschrijving over veilige toegang op afstand. Het belangrijkste is dat er een opvallende downloadknop staat. Je klikt erop, in de verwachting een installatieprogramma van een gerenommeerde leverancier te krijgen, maar de site leidt je stilletjes door naar een downloadpagina op GitHub, waar een ZIP-bestand wordt aangeboden met een naam in de trant van VPN-CLIENT.zip.
GitHub is een geliefd distributiekanaal voor malware-makers omdat het algemeen als betrouwbaar wordt beschouwd. In deze campagne hebben de criminelen hun bestand zelfs ondertekend met een legitiem certificaat, dat inmiddels is ingetrokken. Het gedownloade ZIP-bestand bevat een Microsoft Software Installer-bestand (.msi) dat het slachtoffer door de gebruikelijke routine van ‘Installeren’, ‘Volgende’, ‘Volgende’ en ‘Voltooien’ leidt, terwijl tijdens de installatie schadelijke DLL-bestanden (Dynamic Link Library) worden geïnstalleerd.
Een van die DLL’s, dwmapi.dll, fungeert als loader en start ingebedde shellcode die op zijn beurt wordt uitgevoerd inspector.dll, een variant van de hyrax informatiedief. Zodra de installatie is voltooid, is je VPN niet alleen een client, maar ook een dief van inloggegevens.
Zodra je je nieuwe VPN gaat gebruiken, gebeurt er in snel tempo het volgende:
- De valse VPN registreert je gebruikersnaam, wachtwoord en de doel-URI, en geeft deze gegevens door aan de Hyrax-infostealer-component.
- Hyrax leest ook bestaande VPN en verzamelt daarbij alle opgeslagen verbindingen en opgeslagen inloggegevens.
- De malware stuurt alle gestolen gegevens naar een door de aanvaller beheerde infrastructuur.
Het enige wat de gebruiker te zien krijgt, is een geloofwaardig klinkende foutmelding zoals „verbinding mislukt“ of „installatieprobleem“. Bovendien geeft de malware instructies om de legitieme VPN via officiële bronnen te downloaden. In sommige gevallen opent de malware zelfs de browser van de gebruiker op de echte VPN . Dit alles natuurlijk om argwaan weg te nemen.
De rest gebeurt op het netwerk van de werkgever. De aanvaller kan zich nu vanuit een door hem beheerde infrastructuur VPN u aanmelden bij het VPN en zich onmiddellijk vermengen met het normale verkeer voor externe toegang. Als uw account toegang heeft tot gedeelde mappen, interne beheerpanelen, ticketsystemen of clouddiensten, kan hij deze bronnen gaan verkennen of misbruiken.
Hoe je valse VPN kunt vermijden
Nu je weet waar je op moet letten, heb je al een voorsprong. Hier volgen nog enkele algemene tips om veilig te blijven:
- Vertrouw nooit alleen op zoekresultaten, zeker niet als het om beveiligingssoftware gaat. Ga direct naar de website van de leverancier.
- Controleer het domein nogmaals voordat u gaat downloaden. Bevindt u zich nog steeds op de website van de leverancier of op een betrouwbaar platform? Neem indien nodig contact op met uw IT-afdeling om de downloadlink te controleren.
- Meld „mislukte“ VPN aan de IT-afdeling. Blijf het niet opnieuw proberen. Een onverwachte fout gevolgd door een omleiding zou een alarmsignaal moeten zijn.
- Sla VPN van uw VPN niet op in persoonlijke wachtwoordbeheerders of browsers.
Als je ooit een VPN hebt geïnstalleerd vanaf een onbetrouwbare website of een ongebruikelijk domein, ga er dan vanuit dat je VPN mogelijk zijn gecompromitteerd en vraag om een reset.
We rapporteren niet alleen over privacy - we bieden u optie om er gebruik van te maken.
Privacy 's mogen nooit verder reiken dan een krantenkop. Houd uw online privacy uw door gebruik te maken van Malwarebytes Privacy VPN.
