Este blog trata de como tentar fazer a “coisa certa” pode levar você direto para uma armadilha. Pessoas que procuravam uma VPN baixando um malware que rouba credenciais.
Do ponto de vista da vítima, sua confiança foi explorada em todas as etapas: confiança nos mecanismos de busca, nos logotipos conhecidos, nas assinaturas digitais e na suposição de que, se as coisas “funcionam no final”, devem ser seguras.
Imagine que você está procurando um VPN para se conectar à rede da sua empresa. Você usa seu mecanismo de busca favorito e, no topo dos resultados, vê exatamente o que procurava: anúncios que parecem pertencer a nomes consagrados do setor. Eles têm o logotipo certo, o nome do produto certo e uma descrição que parece legítima.
Mas o que você está vendo, nos casos descritos pela Microsoft, são resultados de pesquisa influenciados pelo envenenamento de SEO. O envenenamento de SEO (Search Engine Optimization) consiste em fazer com que uma página da web apareça em posições de destaque nos resultados de pesquisa relevantes sem comprar anúncios ou seguir as práticas recomendadas de SEO, que são legítimas, mas tediosas. Em vez disso, os cibercriminosos utilizam meios enganosos ou abertamente ilegais para impulsionar suas páginas para o topo.
No que foi falsificado — talvez até clonadoVPN , tudo parece familiar: a marca do fornecedor, o nome do produto e uma breve descrição sobre acesso remoto seguro. Mais importante ainda, há um botão de download bem visível. Você clica, esperando um instalador de um fornecedor confiável, mas o site discretamente redireciona você para uma página de download de versões no GitHub, oferecendo um arquivo ZIP com um nome do tipo VPN-CLIENT.zip.
O GitHub é um canal de distribuição preferido pelos criadores de malware, pois goza de ampla confiança. Nesta campanha, os criminosos chegaram a assinar seu arquivo com um certificado legítimo, que já foi revogado. O arquivo ZIP baixado contém um arquivo do Microsoft Software Installer (.msi) que conduz a vítima pela rotina habitual de “Instalar”, “Avançar”, “Avançar” e “Concluir”, enquanto instala arquivos maliciosos de biblioteca de ligação dinâmica (DLL) paralelamente durante o processo.
Uma dessas DLLs, dwmapi.dll, está atuando como um carregador, executando um shellcode incorporado que, por sua vez, é executado inspector.dll, uma variante do damão programa de roubo de informações. Assim que a instalação for concluída, seu VPN não será apenas um cliente, mas também um ladrão de credenciais.
Quando você começa a usar sua nova VPN, várias coisas acontecem em rápida sucessão:
- VPN falso captura seu nome de usuário, senha e URI de destino, e repassa esses dados ao componente Hyrax, que rouba informações.
- O Hyrax também lê os dados VPN existentes, coletando todas as conexões armazenadas e credenciais salvas.
- O malware envia todas as informações roubadas para uma infraestrutura controlada pelo invasor.
Tudo o que o usuário vê é uma mensagem de erro que parece plausível, como “falha na conexão” ou “problema na instalação”. Para completar, o malware fornece instruções para baixar o VPN legítimo de fontes oficiais. Em alguns casos, ele chega até a abrir o navegador do usuário no VPN real VPN . Tudo isso, é claro, para diminuir as suspeitas.
O resto ocorre na rede da empresa. O invasor agora pode fazer login na VPN corporativa VPN sua identidade, a partir de uma infraestrutura que controla, e se misturar imediatamente ao tráfego normal de acesso remoto. Se sua conta tiver acesso a compartilhamentos de arquivos, painéis de administração internos, sistemas de tickets ou serviços em nuvem, ele poderá começar a explorar ou abusar desses recursos.
Como evitar VPN falsos
Agora que você já sabe no que deve prestar atenção, já está um passo à frente. Aqui vão mais algumas dicas gerais para se manter seguro:
- Nunca confie apenas nos resultados de pesquisa, especialmente quando se trata de software de segurança. Acesse diretamente o site do fornecedor.
- Verifique novamente o domínio antes de fazer o download. Você ainda está no site do fornecedor ou em uma plataforma confiável? Se necessário, verifique o link de download com o seu departamento de TI.
- Comunique ao departamento de TI VPN que “falharam”. Não continue tentando. Uma falha inesperada seguida de um redirecionamento deve ser um sinal de alerta.
- Não armazene VPN corporativa em gerenciadores de senhas pessoais ou navegadores.
Se você já instalou um VPN a partir de um site não confiável ou de um domínio incomum, considere que suas VPN podem ter sido comprometidas e solicite uma redefinição.
Não nos limitamos a informar sobre privacidade - oferecemos a você a opção de usá-la.
Os riscos Privacy nunca devem ir além de uma manchete. Mantenha sua privacidade on-line usando o Malwarebytes Privacy VPN.
