Wouter Hoeffnagel - 23 april 2020

Infostealer-malware verspreidt via neppe VPN-sites

Cybercriminelen proberen met een nieuwe aanvalscampagne gebruikers te misleiden tot het downloaden en installeren van malware. Deze is vermomd als een legitieme VPN-client.

Dit blijkt uit onderzoek van Zscaler. Onderdeel van dit onderzoek is het monitoren van nieuw geregistreerde domeinen (NRD's), omdat ze bron kunnen zijn van nieuwe malware-campagnes. Hierbij kwam het NRD's voor meerdere websites tegen die deden alsof ze gratis VPN-clients aanboden. Wanneer de gebruiker de VPN-client downloadt en uitvoert, wordt deze op de achtergrond uitgevoerd, installeert infostealer-malware en bedient andere malware, zoals een Remote Access Trojan en een banking Trojan.

Fake Nord VPN-site

Zscaler stuitte op het domein nordfreevpn[.]com. Wanneer een gebruiker vanaf deze site een VPN-client probeert te installeren, downloadt hij de gecodeerde payload van het internet, decodeert deze en laadt deze in het geheugen voor uitvoer. De gebruiker installeert in feite Grand Stealer-malware die verschillende mogelijkheden heeft, waaronder het stelen van verschillende inloggegevens en cryptocurrency-wallets.

zscaler-fake-vpn-1.png

zscaler-fake-vpn-2.png

Grand Stealer

De Grand Stealer-malware steelt de volgende informatie van het geïnfecteerde systeem:

  • Browserprofielen (inloggegevens, cookies, creditcards, automatisch aanvullen)
  • Gecko-inloggegevens
  • FTP-gegevens
  • RDP-inloggegevens
  • Telegram-sessies
  • Cryptocurrency-wallets
  • Discord-softwaregegevens
  • Desktop-bestanden Screenshots

Fake VPN4Test-site

Zscaler ontdekte ook een valse VPN-site met het domein vpn4test[.]net. Wanneer een gebruiker vanaf deze site een nep-VPN-client probeert te installeren, downloadt het de gecodeerde configuratiegegevens van het internet, downloadt de malware-payload van de URL in de configuratiegegevens - in dit geval de Azorult infostealer - en voert het uit.

zscaler-fake-vpn-3.png

Azorult Infostealer

Azorult is een informatiesteler die opgeslagen wachtwoorden, inloggegevens van de browser, cookies, geschiedenis, chatsessies, cryptocurrency-wallets en schermafbeeldingen verzamelt en steelt. Vaak downloadt het ook extra malware naar het geïnfecteerde systeem. De malware genereert eerst een bot-ID om de hostcomputer op unieke wijze te identificeren. Zodra dit is gegenereerd, wordt deze gecodeerd en geencrypt met 3bytes en naar de C&C-server verzonden.

Als reactie op dit verzoek verzendt de server gecodeerde configuratiegegevens. De configuratie omvat directory-paden waar de gegevens kunnen worden gestolen, extra URL's voor uitvoerbare malware, vereiste DLL-modules, browser-targets, getargete cryptocurrency-wallets en alle verdachte strings die door de malware worden gebruikt.

Meer technische achtergronden over deze en andere gevonden infostealer-malware is te vinden in deze blogpost

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024