Этот блог посвящен тому, как стремление поступить «правильно» может привести вас прямо в ловушку. Люди, искавшие VPN скачали вредоносное ПО, похищающее учетные данные.
С точки зрения жертвы, её доверие злоупотребляли на каждом этапе: доверие к поисковым системам, к знакомым логотипам, к цифровым подписям, а также к предположению, что если всё «в конце концов работает», значит, это безопасно.
Представьте, что вы ищете VPN для подключения к сети вашей компании. Вы используете любимую поисковую систему и в верхней части результатов поиска видите именно то, что искали: ссылки, которые выглядят так, будто принадлежат известным в отрасли компаниям. У них есть соответствующий логотип, правильное название продукта и описание, которое выглядит достоверно.
Однако в случаях, описанных Microsoft, речь идет о результатах поиска, на которые повлияло «SEO-отравление». «SEO-отравление» (Search Engine Optimization) сводится к тому, чтобы веб-страница занимала высокие позиции в результатах поиска по соответствующим запросам без покупки рекламы и без соблюдения законных, но трудоемких рекомендаций по поисковой оптимизации. Вместо этого киберпреступники используют обманные или откровенно незаконные методы, чтобы вывести свои страницы на первые места.
На поддельном — возможно, даже клонированныйVPN : всё выглядит привычно — логотип поставщика, название продукта и краткая аннотация о безопасном удалённом доступе. И, что самое главное, здесь есть заметная кнопка «Скачать». Вы нажимаете на неё, ожидая увидеть установщик от авторитетного поставщика, но сайт незаметно перенаправляет вас на страницу загрузки релиза на GitHub, предлагая ZIP-файл с названием примерно такого рода: VPN-CLIENT.zip.
GitHub является излюбленным каналом распространения для создателей вредоносного ПО, поскольку пользователи широко доверяют этой платформе. В рамках данной кампании злоумышленники даже подписали свой файл легитимным сертификатом, который впоследствии был отозван. Загруженный ZIP-файл содержит файл Microsoft Software Installer (.msi), который во время установки проходит с жертвой стандартную процедуру («Установить», «Далее», «Далее», «Готово»), одновременно загружая вредоносные файлы динамически подключаемых библиотек (DLL).
Одна из этих DLL, dwmapi.dll, выступает в роли загрузчика, запуская встроенный шелл-код, который, в свою очередь, выполняет inspector.dll, разновидность дамана программа для кражи данных. С момента завершения установки ваш VPN становится не просто клиентом, но и похитителем учетных данных.
Когда вы начинаете пользоваться новым VPN, в течение нескольких секунд происходит следующее:
- Поддельный VPN перехватывает ваше имя пользователя, пароль и целевой URI, а затем передает эти данные компоненту Hyrax, предназначенному для кражи данных.
- Hyrax также считывает имеющиеся данные VPN , собирая все сохраненные подключения и учетные данные.
- Вредоносное ПО отправляет всю похищенную информацию на серверы, контролируемые злоумышленниками.
Пользователь видит лишь правдоподобную ошибку, например «не удалось установить соединение» или «проблема с установкой». В довершение ко всему вредоносная программа предлагает инструкции по загрузке легального VPN из официальных источников. В некоторых случаях она даже открывает в браузере пользователя VPN настоящего VPN . Все это, разумеется, делается для того, чтобы развеять подозрения.
Остальное происходит в сети работодателя. Теперь злоумышленник может войти в корпоративную VPN вашего VPN с подконтрольной ему инфраструктуры и сразу же смешаться с обычным трафиком удалённого доступа. Если ваша учётная запись имеет доступ к общим файловым ресурсам, внутренним панелям администратора, системам управления заявками или облачным сервисам, злоумышленник может начать изучать или злоупотреблять этими ресурсами.
Как избежать поддельных VPN
Теперь, когда вы знаете, на что обращать внимание, вы уже на шаг впереди. Вот ещё несколько общих советов, которые помогут вам обеспечить свою безопасность:
- Никогда не полагайтесь исключительно на результаты поиска, особенно если речь идет о программах для обеспечения безопасности. Перейдите сразу на сайт производителя.
- Перед загрузкой еще раз проверьте адрес сайта. Вы по-прежнему находитесь на сайте поставщика или на надежной платформе? При необходимости уточните ссылку для загрузки у своего ИТ-отдела.
- Сообщайте в ИТ-отдел о «неудачных» VPN . Не стоит продолжать повторять попытки. Неожиданный сбой, за которым следует перенаправление, должен вызвать настороженность.
- Не храните VPN корпоративной VPN в личных менеджерах паролей или браузерах.
Если вы когда-либо устанавливали VPN с ненадежного сайта или с необычного домена, следует предположить, что ваши VPN могли быть скомпрометированы, и запросить их сброс.
Мы не просто сообщаем о конфиденциальности - мы предлагаем вам воспользоваться ею.
Риски Privacy не должны выходить за рамки заголовка. Сохраняйте конфиденциальность в Интернете с помощью Malwarebytes Privacy VPN.
