Ten wpis na blogu opowiada o tym, jak dążenie do „postępowania zgodnie z zasadami” może doprowadzić cię prosto w pułapkę. Osoby poszukujące sieci VPN na pobraniu złośliwego oprogramowania kradnącego dane logowania.
Z punktu widzenia ofiary jej zaufanie było wykorzystywane na każdym kroku: zaufanie do wyszukiwarek, do znanych logo, do podpisów cyfrowych oraz do założenia, że skoro wszystko „w końcu działa”, to musi być bezpieczne.
Wyobraź sobie, że szukasz VPN , aby połączyć się z siecią swojego pracodawcy. Korzystasz ze swojej ulubionej wyszukiwarki i na szczycie wyników wyszukiwania widzisz dokładnie to, czego szukałeś: wpisy, które wyglądają, jakby należały do renomowanych firm z branży. Mają odpowiednie logo, właściwą nazwę produktu i opis, który brzmi wiarygodnie.
Jednak w przypadkach opisanych przez Microsoft mamy do czynienia z wynikami wyszukiwania, na które wpływ ma zjawisko „SEO poisoning”. Zjawisko to polega na tym, że strona internetowa osiąga wysoką pozycję w wynikach wyszukiwania bez wykupywania reklam i bez stosowania legalnych, choć żmudnych, najlepszych praktyk SEO. Zamiast tego cyberprzestępcy wykorzystują podstępne lub wręcz nielegalne metody, aby wywindować swoje strony na szczyt listy wyników.
W przypadku sfałszowanego — a może nawet sklonowanyVPN , wszystko wygląda znajomo: logo dostawcy, nazwa produktu i krótki opis dotyczący bezpiecznego dostępu zdalnego. Co najważniejsze, widnieje tam wyraźnie widoczny przycisk „Pobierz”. Klikasz, spodziewając się instalatora od renomowanego dostawcy, ale strona po cichu przekierowuje cię do strony pobierania wydania na GitHubie, oferując plik ZIP o nazwie w stylu VPN-CLIENT.zip.
GitHub jest ulubionym kanałem dystrybucji twórców złośliwego oprogramowania, ponieważ cieszy się powszechnym zaufaniem. W ramach tej kampanii przestępcy podpisali nawet swój plik legalnym certyfikatem, który został już unieważniony. Pobrany plik ZIP zawiera plik instalatora oprogramowania Microsoft (.msi), który prowadzi ofiarę przez standardową procedurę instalacji („Zainstaluj”, „Dalej”, „Dalej”, „Zakończ”), jednocześnie instalując w tle złośliwe pliki bibliotek DLL.
Jedna z tych bibliotek DLL, dwmapi.dll, pełni rolę modułu ładującego, uruchamiając wbudowany kod powłoki, który z kolei uruchamia inspector.dll, odmiana gatunku Hyrax program wykradający dane. Od momentu zakończenia instalacji Twój VPN nie jest już tylko klientem, ale także narzędziem do kradzieży danych uwierzytelniających.
Kiedy zaczniesz korzystać z nowej VPN, w krótkim odstępie czasu nastąpi kilka rzeczy:
- Fałszywy VPN przechwytuje nazwę użytkownika, hasło i adres docelowy URI, a następnie przekazuje te dane do komponentu Hyrax służącego do kradzieży danych.
- Hyrax odczytuje również istniejące dane VPN , pobierając wszystkie zapisane połączenia i dane logowania.
- Złośliwe oprogramowanie wysyła wszystkie skradzione dane do infrastruktury kontrolowanej przez atakującego.
Użytkownik widzi jedynie błąd brzmiący wiarygodnie, np. „nie udało się nawiązać połączenia” lub „problem z instalacją”. Co więcej, złośliwe oprogramowanie wyświetla instrukcje dotyczące pobrania legalnego VPN z oficjalnych źródeł. W niektórych przypadkach otwiera nawet przeglądarkę użytkownika na prawdziwej VPN . Wszystko to oczywiście ma na celu rozproszenie podejrzeń.
Reszta dzieje się w sieci pracodawcy. Atakujący może teraz zalogować się do firmowej VPN twoim profilem, korzystając z infrastruktury, którą kontroluje, i natychmiast wtopić się w normalny ruch związany z dostępem zdalnym. Jeśli twoje konto ma dostęp do udziałów plików, wewnętrznych paneli administracyjnych, systemów zgłoszeń lub usług w chmurze, atakujący może zacząć przeglądać lub nadużywać tych zasobów.
Jak unikać fałszywych VPN
Skoro już wiesz, na co zwrócić uwagę, masz już przewagę. Oto kilka ogólnych wskazówek, które pomogą Ci zachować bezpieczeństwo:
- Nie polegaj wyłącznie na wynikach wyszukiwania, zwłaszcza jeśli chodzi o oprogramowanie zabezpieczające. Wejdź bezpośrednio na stronę internetową producenta.
- Przed rozpoczęciem pobierania dokładnie sprawdź adres domeny. Czy nadal znajdujesz się na stronie dostawcy lub zaufanej platformie? W razie potrzeby skonsultuj się z działem IT w sprawie linku do pobrania.
- Zgłoś działaniu działu IT nieudane VPN . Nie próbuj ponownie. Nieoczekiwana awaria, po której następuje przekierowanie, powinna wzbudzić Twoją czujność.
- Nie należy przechowywać VPN firmowej VPN w osobistych menedżerach haseł ani przeglądarkach.
Jeśli kiedykolwiek zainstalowałeś VPN z niezaufanej strony internetowej lub z nietypowej domeny, załóż, że Twoje VPN mogły zostać ujawnione, i poproś o ich zresetowanie.
Nie tylko informujemy o prywatności - oferujemy możliwość korzystania z niej.
Zagrożenia dla Privacy nigdy nie powinny wykraczać poza nagłówek. Zachowaj swoją prywatność online, korzystając z Malwarebytes Privacy VPN.
