Cybersikkerhetsforskere advarer om en kampanje der falske VPN-installatører brukes til å infisere Windows-systemer med en kraftig fjernstyringstrojaner (RAT).

Kampanjen retter seg mot brukere som søker etter LetsVPN, også kjent som Kuailian VPN. Ofrene tror installasjonen lykkes fordi den ondsinnede pakken samtidig installerer den legitime VPN-applikasjonen.

Falske VPN-installatører Leverer Skjult Skadevare

Forskere hos ThreatLocker oppdaget at angripere distribuerer en manipulert MSI-pakke med navnet Kuailian_win-setup.86.msi.

Installasjonsprogrammet inneholder en legitim og digitalt signert versjon av LetsVPN. Før den ekte VPN-klienten starter, installerer pakken imidlertid skadevare.

Resultatet er at brukeren ser en tilsynelatende normal VPN-installasjon og ofte ikke oppdager at datamaskinen allerede er kompromittert.

ThreatLocker opplyser at skadevaren gir angriperne full kontroll over det infiserte systemet og alle dataene på det.

Skadevaren Lastes Direkte Inn i Minnet

Angrepet starter med at shellkode lastes inn og kontakter en kommando- og kontrollserver (C2).

Den endelige skadevaren blir ikke skrevet til harddisken. I stedet injiseres den direkte i systemets minne. Denne teknikken gjør det vanskeligere for tradisjonelle filbaserte sikkerhetsløsninger å oppdage angrepet.

Forskerne fant at skadevaren kan kommunisere med opptil 40 ulike C2-servere.

Flere av domenene inneholder varianter av uttrykket «Nishihaoren», som betyr «du er en god person» på forenklet kinesisk. Derfor ga ThreatLocker skadevaren navnet GoodPersonRAT.

GoodPersonRAT Gir Angriperne Full Kontroll

Når GoodPersonRAT er aktiv, venter den på kommandoer fra angriperne.

Skadevaren inneholder en lang rekke funksjoner for overvåking og fjernadministrasjon.

Den kan blant annet:

  • Ta skjermbilder og overvåke skjermen.
  • Loggføre tastetrykk.
  • Stjele innhold fra utklippstavlen.
  • Samle inn nettleserkapsler, lagrede innlogginger, brukerprofiler og nettleserhistorikk.
  • Hente ut data fra Telegram Desktop.
  • Kjøre kommandoer eksternt på offerets datamaskin.

Skadevaren sørger også for vedvarende tilgang ved å registrere Windows-tjenester og planlagte oppgaver med SYSTEM-rettigheter. Disse starter automatisk før brukeren logger inn.

Brukere Bak Kinas Brannmur Er Hovedmålet

ThreatLocker mener kampanjen spesielt retter seg mot LetsVPN-brukere.

VPN-tjenesten brukes i stor grad til å omgå internettsensuren bak Kinas store brannmur, noe som gjør den til et attraktivt lokkemiddel for angripere.

Forskerne har ikke identifisert den nøyaktige distribusjonsmetoden. Falske VPN-installatører spres imidlertid ofte gjennom manipulerte søkeresultater, ondsinnede annonser, phishing-e-poster, kopierte nedlastingssider, nettfora og direktemeldinger.

Slik Beskytter Du Deg Mot Falske VPN-installatører

ThreatLocker anbefaler at brukere alltid kontrollerer kilden og ektheten til programvare før installasjon.

VPN-programvare bør kun lastes ned fra den offisielle nettsiden eller pålitelige appbutikker. Organisasjoner bør i tillegg verifisere programvarepakker før de tas i bruk for å redusere risikoen for angrep mot forsyningskjeden.

Denne kampanjen viser at falske VPN-installatører kan se helt legitime ut, samtidig som de i hemmelighet gir angriperne full kontroll over offerets datamaskin.


0 responses to “Falske VPN-installatører Infiserer PC-er Med GoodPersonRAT-skadevare”