Cybersicherheitsforscher warnen vor einer Kampagne, bei der gefälschte VPN-Installer eingesetzt werden, um Windows-Systeme mit einem leistungsfähigen Remote-Access-Trojaner (RAT) zu infizieren.

Die Kampagne richtet sich gegen Nutzer, die nach LetsVPN, auch bekannt als Kuailian VPN, suchen. Die Opfer gehen davon aus, dass die Installation erfolgreich war, da das manipulierte Installationspaket gleichzeitig die legitime VPN-Anwendung installiert.

Gefälschte VPN-Installer Verteilen Versteckte Malware

Forscher von ThreatLocker entdeckten, dass Angreifer ein manipuliertes MSI-Paket mit dem Namen Kuailian_win-setup.86.msi verbreiten.

Der Installer enthält eine legitime und digital signierte Version von LetsVPN. Bevor jedoch die echte VPN-Anwendung gestartet wird, installiert das Paket zunächst Malware.

Dadurch sehen die Opfer eine scheinbar normale VPN-Installation und bemerken oft nicht, dass ihr Computer bereits kompromittiert wurde.

Laut ThreatLocker verschafft die Malware den Angreifern die vollständige Kontrolle über das infizierte System und sämtliche darauf gespeicherten Daten.

Die Malware Lädt Sich Direkt In Den Arbeitsspeicher

Der Angriff beginnt mit dem Laden von Shellcode, der Kontakt zu einem Command-and-Control-Server (C2) aufnimmt.

Die eigentliche Malware wird nicht auf der Festplatte gespeichert. Stattdessen injiziert sie sich direkt in den Arbeitsspeicher. Diese Technik erschwert die Erkennung durch viele klassische dateibasierte Sicherheitslösungen.

Die Forscher stellten fest, dass die Malware mit bis zu 40 verschiedenen C2-Servern kommunizieren kann.

Mehrere Domains enthalten Varianten des Begriffs „Nishihaoren“, der aus dem vereinfachten Chinesisch mit „Du bist ein guter Mensch“ übersetzt werden kann. Aufgrund dieses Namensmusters bezeichnete ThreatLocker die Malware als GoodPersonRAT.

GoodPersonRAT Verschafft Angreifern Vollständige Kontrolle

Sobald GoodPersonRAT aktiv ist, wartet die Malware auf Befehle ihrer Betreiber.

Sie verfügt über zahlreiche Funktionen zur Überwachung und Fernsteuerung.

Sie kann unter anderem:

  • Bildschirmaufnahmen erstellen und den Bildschirm überwachen.
  • Tastatureingaben protokollieren.
  • Inhalte der Zwischenablage stehlen.
  • Browser-Cookies, gespeicherte Anmeldedaten, Benutzerprofile und den Browserverlauf auslesen.
  • Daten aus Telegram Desktop extrahieren.
  • Befehle aus der Ferne auf dem Computer des Opfers ausführen.

Die Malware sorgt außerdem für dauerhaften Zugriff, indem sie Windows-Dienste und geplante Aufgaben mit SYSTEM-Rechten erstellt. Diese werden automatisch gestartet, bevor sich der Benutzer anmeldet.

Nutzer Hinter Chinas Firewall Sind Das Hauptziel

ThreatLocker geht davon aus, dass sich die Kampagne gezielt gegen Nutzer von LetsVPN richtet.

Der VPN-Dienst wird häufig genutzt, um die Internetzensur der chinesischen Great Firewall zu umgehen. Dadurch eignet er sich besonders gut als Köder für Angreifer.

Die Forscher konnten den genauen Verbreitungsweg zwar nicht bestimmen. Gefälschte VPN-Installer werden jedoch häufig über manipulierte Suchergebnisse, bösartige Werbeanzeigen, Phishing-E-Mails, gefälschte Download-Webseiten, Online-Foren und Direktnachrichten verbreitet.

So Schützen Sie Sich Vor Gefälschten VPN-Installern

ThreatLocker empfiehlt, vor jeder Installation die Herkunft und Integrität einer Software sorgfältig zu überprüfen.

VPN-Software sollte ausschließlich von der offiziellen Website oder aus vertrauenswürdigen App-Stores heruntergeladen werden. Unternehmen sollten Softwarepakete zusätzlich vor der Bereitstellung überprüfen, um das Risiko von Supply-Chain-Angriffen zu verringern.

Diese Kampagne zeigt, dass gefälschte VPN-Installer völlig legitim wirken können, während sie Angreifern im Hintergrund die vollständige Kontrolle über den Computer des Opfers verschaffen.


0 Kommentare zu „Gefälschte VPN-Installer Infizieren PCs Mit Der GoodPersonRAT-Malware“