Cybersäkerhetsforskare varnar för en kampanj där falska VPN-installatörer används för att infektera Windows-system med en kraftfull fjärrstyrd trojan, även kallad RAT.

Kampanjen riktar in sig på användare som söker efter LetsVPN, även känt som Kuailian VPN. Offren tror att installationen lyckas eftersom det skadliga installationspaketet även installerar den legitima VPN-applikationen.

Falska VPN-installatörer Levererar Dold Malware

Forskare på ThreatLocker upptäckte att angripare sprider ett manipulerat MSI-paket med namnet Kuailian_win-setup.86.msi.

Installationsprogrammet innehåller en legitim och digitalt signerad version av LetsVPN. Innan den riktiga VPN-klienten startar installerar paketet dock malware.

Offren ser därför en till synes normal VPN-installation och märker ofta inte att datorn redan har komprometterats.

ThreatLocker uppger att malwaren ger angriparna full kontroll över det infekterade systemet och all data som finns på det.

Malwaren Laddas Direkt i Minnet

Attacken börjar med att shellcode laddas och kontaktar en kommando- och kontrollserver (C2).

Den slutliga malware-koden skrivs inte till hårddisken utan injiceras direkt i datorns minne. Den tekniken gör det svårare för traditionella filbaserade säkerhetslösningar att upptäcka attacken.

Forskarna upptäckte att malwaren kan kommunicera med upp till 40 olika C2-servrar.

Flera av domänerna innehåller varianter av uttrycket ”Nishihaoren”, vilket betyder ”du är en god människa” på förenklad kinesiska. Därför gav ThreatLocker malwaren namnet GoodPersonRAT.

GoodPersonRAT Ger Angripare Full Kontroll

När GoodPersonRAT har aktiverats väntar den på kommandon från angriparna.

Malwaren innehåller ett brett utbud av funktioner för övervakning och fjärradministration.

Den kan bland annat:

  • Ta skärmdumpar och övervaka skärmen.
  • Logga tangenttryckningar.
  • Stjäla innehållet i urklipp.
  • Samla in webbläsarcookies, sparade inloggningar, användarprofiler och webbhistorik.
  • Extrahera data från Telegram Desktop.
  • Köra kommandon på offrets dator på distans.

Malwaren skapar dessutom beständig åtkomst genom att registrera Windows-tjänster och schemalagda uppgifter med SYSTEM-behörighet. Dessa startar automatiskt innan användaren loggar in.

Användare Bakom Kinas Brandvägg Är Huvudmålet

ThreatLocker bedömer att kampanjen främst riktar sig mot LetsVPN-användare.

VPN-tjänsten används i stor utsträckning för att kringgå internetcensuren bakom Kinas stora brandvägg, vilket gör den till ett attraktivt lockbete för angripare.

Forskarna har inte kunnat fastställa den exakta distributionsmetoden. Falska VPN-installatörer sprids dock ofta via manipulerade sökresultat, skadliga annonser, nätfiskemejl, kopierade nedladdningssidor, internetforum och direktmeddelanden.

Så Skyddar Du Dig Mot Falska VPN-installatörer

ThreatLocker rekommenderar att användare alltid kontrollerar programvarans källa och äkthet innan installation.

VPN-program bör endast laddas ner från den officiella webbplatsen eller betrodda appbutiker. Organisationer bör dessutom verifiera alla programvarupaket innan de distribueras för att minska risken för attacker mot leverantörskedjan.

Den här kampanjen visar att falska VPN-installatörer kan se helt legitima ut samtidigt som de i hemlighet ger angripare full kontroll över offrets dator.


0 svar till ”Falska VPN-installatörer Infekterar Datorer Med GoodPersonRAT-malware”