Este blogue trata de como tentar fazer «o que está certo» pode levar-nos diretamente a uma armadilha. Pessoas que procuravam uma VPN por descarregar malware destinado a roubar credenciais.
Do ponto de vista da vítima, a sua confiança foi explorada em todas as etapas: confiança nos motores de busca, nos logótipos familiares, nas assinaturas digitais e na suposição de que, se as coisas «acabam por funcionar», devem ser seguras.
Imagine que está à procura de um VPN para se ligar à rede da sua empresa. Utiliza o seu motor de busca preferido e, no topo dos resultados da pesquisa, vê exatamente o que procurava: resultados que parecem pertencer a nomes consagrados do setor. Apresentam o logótipo certo, o nome certo do produto e uma descrição que parece legítima.
Mas o que se vê, nos casos descritos pela Microsoft, são resultados de pesquisa influenciados pelo «envenenamento de SEO». O «envenenamento de SEO» (Search Engine Optimization) consiste em fazer com que uma página web obtenha uma classificação elevada nos resultados de pesquisa relevantes sem comprar anúncios nem seguir as melhores práticas de SEO, que são legítimas, mas tediosas. Em vez disso, os cibercriminosos recorrem a meios enganosos ou abertamente ilegais para impulsionar as suas páginas para o topo.
No que foi falsificado — talvez até clonadoVPN , tudo parece familiar: a marca do fornecedor, o nome do produto e uma breve descrição sobre o acesso remoto seguro. Mais importante ainda, há um botão de «Download» bem visível. Clica-se nele, à espera de um instalador de um fornecedor de confiança, mas o site redireciona-nos discretamente para o download de uma versão no GitHub, oferecendo um ficheiro ZIP com um nome do tipo VPN-CLIENT.zip.
O GitHub é um canal de distribuição preferido pelos autores de malware, uma vez que goza de grande confiança. Nesta campanha, os criminosos chegaram mesmo a assinar o seu ficheiro com um certificado legítimo, que entretanto foi revogado. O ficheiro ZIP descarregado contém um ficheiro do Microsoft Software Installer (.msi) que conduz a vítima pela rotina habitual de «Instalar», «Seguinte», «Seguinte» e «Concluir», ao mesmo tempo que instala paralelamente ficheiros maliciosos de bibliotecas de ligação dinâmica (DLL) durante a instalação.
Uma dessas DLLs, dwmapi.dll, está a funcionar como um carregador, executando código shell incorporado que, por sua vez, é executado inspector.dll, uma variante do damão programa de roubo de informações. Assim que a instalação terminar, VPN seu VPN não é apenas um cliente, mas também um ladrão de credenciais.
Quando começa a utilizar VPN sua nova VPN, várias coisas acontecem em rápida sucessão:
- VPN falso captura o seu nome de utilizador, palavra-passe e URI de destino, e transmite esses dados ao componente Hyrax de roubo de informações.
- O Hyrax também lê os dados VPN existentes, recolhendo todas as ligações armazenadas e credenciais guardadas.
- O malware envia todas as informações roubadas para uma infraestrutura controlada pelo atacante.
Tudo o que o utilizador vê é uma mensagem de erro que parece plausível, como «falha na ligação» ou «problema de instalação». Para piorar a situação, o malware fornece instruções para descarregar o VPN legítimo a partir de fontes oficiais. Em certos casos, chega mesmo a abrir o navegador do utilizador no VPN verdadeiro VPN . Tudo isto, claro, para dissipar suspeitas.
O resto ocorre na rede da empresa. O atacante pode agora iniciar sessão na VPN corporativa VPN sua VPN , a partir de infraestruturas que controla, e misturar-se imediatamente com o tráfego normal de acesso remoto. Se a sua conta tiver acesso a partilhas de ficheiros, painéis de administração internos, sistemas de gestão de tickets ou serviços na nuvem, o atacante pode começar a explorar ou a abusar desses recursos.
Como evitar VPN falsos
Agora que já sabe no que deve prestar atenção, está um passo à frente. Aqui ficam mais algumas dicas gerais para se manter em segurança:
- Nunca confie apenas nos resultados de pesquisa, especialmente no que diz respeito a software de segurança. Aceda diretamente ao site do fornecedor.
- Verifique novamente o domínio antes de fazer o download. Continua no site do fornecedor ou numa plataforma de confiança? Se necessário, verifique o link de download junto do seu departamento de TI.
- Comunique VPN «falhadas» ao departamento de TI. Não continue a tentar. Uma falha inesperada seguida de um redirecionamento deve ser motivo de alerta.
- Não guarde VPN da empresa em gestores de palavras-passe pessoais ou em navegadores.
Se alguma vez instalou um VPN a partir de um site não fiável ou de um domínio invulgar, considere que VPN suas VPN podem ter sido comprometidas e solicite uma redefinição.
Não nos limitamos a informar sobre a privacidade - oferecemos-lhe a opção de a utilizar.
Os riscos para Privacy nunca devem ir além de uma manchete. Mantenha a sua privacidade online utilizando o Malwarebytes Privacy VPN.
