Cybersikkerhedsforskere advarer om en kampagne, hvor falske VPN-installationsprogrammer bruges til at inficere Windows-systemer med en avanceret fjernadgangstrojaner (RAT).
Kampagnen retter sig mod brugere, der søger efter LetsVPN, også kendt som Kuailian VPN. Ofrene tror, at installationen lykkes, fordi den ondsindede pakke samtidig installerer den legitime VPN-applikation.
Falske VPN-installationsprogrammer Leverer Skjult Malware
Forskere hos ThreatLocker opdagede, at angribere distribuerer en manipuleret MSI-pakke med navnet Kuailian_win-setup.86.msi.
Installationsprogrammet indeholder en legitim og digitalt signeret version af LetsVPN. Før den rigtige VPN-klient starter, installerer pakken dog malware.
Resultatet er, at brugeren oplever en tilsyneladende normal VPN-installation og ofte ikke opdager, at computeren allerede er kompromitteret.
ThreatLocker oplyser, at malwaren giver angriberne fuld kontrol over det inficerede system og alle data på det.
Malwaren Indlæses Direkte i Hukommelsen
Angrebet begynder med, at shellcode indlæses og opretter forbindelse til en kommando- og kontrolserver (C2).
Den endelige malware bliver ikke skrevet til harddisken. I stedet injiceres den direkte i systemets hukommelse. Denne teknik gør det sværere for traditionelle filbaserede sikkerhedsløsninger at opdage angrebet.
Forskerne fandt, at malwaren kan kommunikere med op til 40 forskellige C2-servere.
Flere af domænerne indeholder variationer af udtrykket “Nishihaoren”, som betyder “du er et godt menneske” på forenklet kinesisk. Derfor gav ThreatLocker malwaren navnet GoodPersonRAT.
GoodPersonRAT Giver Angribere Fuld Kontrol
Når GoodPersonRAT er aktiv, afventer den kommandoer fra angriberne.
Malwaren indeholder en lang række funktioner til overvågning og fjernadministration.
Den kan blandt andet:
- Tage skærmbilleder og overvåge skærmen.
- Registrere tastetryk.
- Stjæle indhold fra udklipsholderen.
- Indsamle browsercookies, gemte loginoplysninger, brugerprofiler og browserhistorik.
- Udtrække data fra Telegram Desktop.
- Udføre kommandoer eksternt på offerets computer.
Malwaren opretter også vedvarende adgang ved at registrere Windows-tjenester og planlagte opgaver med SYSTEM-rettigheder. Disse starter automatisk, før brugeren logger ind.
Brugere Bag Kinas Firewall Er Det Primære Mål
ThreatLocker vurderer, at kampagnen specifikt retter sig mod LetsVPN-brugere.
VPN-tjenesten bruges i vid udstrækning til at omgå internetcensuren bag Kinas Great Firewall, hvilket gør den til et attraktivt lokkemiddel for angribere.
Forskerne har ikke identificeret den præcise distributionsmetode. Falske VPN-installationsprogrammer spredes dog ofte via manipulerede søgeresultater, ondsindede annoncer, phishing-mails, kopierede downloadwebsteder, onlinefora og direkte beskeder.
Sådan Beskytter Du Dig Mod Falske VPN-installationsprogrammer
ThreatLocker anbefaler, at brugere altid kontrollerer softwarekilden og programmets ægthed, før installationen påbegyndes.
VPN-software bør kun downloades fra den officielle hjemmeside eller betroede appbutikker. Organisationer bør desuden validere softwarepakker, før de implementeres, for at reducere risikoen for supply chain-angreb.
Denne kampagne viser, at falske VPN-installationsprogrammer kan se helt legitime ud, samtidig med at de i hemmelighed giver angriberne fuld kontrol over offerets computer.


0 svar til “Falske VPN-installationsprogrammer Inficerer Pc’er Med GoodPersonRAT-malware”