Cybercriminelen proberen met een nieuwe aanvalscampagne gebruikers te misleiden tot het downloaden en installeren van malware. Deze is vermomd als een legitieme VPN-client.
Dit blijkt uit onderzoek van Zscaler. Onderdeel van dit onderzoek is het monitoren van nieuw geregistreerde domeinen (NRD's), omdat ze bron kunnen zijn van nieuwe malware-campagnes. Hierbij kwam het NRD's voor meerdere websites tegen die deden alsof ze gratis VPN-clients aanboden. Wanneer de gebruiker de VPN-client downloadt en uitvoert, wordt deze op de achtergrond uitgevoerd, installeert infostealer-malware en bedient andere malware, zoals een Remote Access Trojan en een banking Trojan.
Fake Nord VPN-site
Zscaler stuitte op het domein nordfreevpn[.]com. Wanneer een gebruiker vanaf deze site een VPN-client probeert te installeren, downloadt hij de gecodeerde payload van het internet, decodeert deze en laadt deze in het geheugen voor uitvoer. De gebruiker installeert in feite Grand Stealer-malware die verschillende mogelijkheden heeft, waaronder het stelen van verschillende inloggegevens en cryptocurrency-wallets.
Grand Stealer
De Grand Stealer-malware steelt de volgende informatie van het geïnfecteerde systeem:
- Browserprofielen (inloggegevens, cookies, creditcards, automatisch aanvullen)
- Gecko-inloggegevens
- FTP-gegevens
- RDP-inloggegevens
- Telegram-sessies
- Cryptocurrency-wallets
- Discord-softwaregegevens
- Desktop-bestanden Screenshots
Fake VPN4Test-site
Zscaler ontdekte ook een valse VPN-site met het domein vpn4test[.]net. Wanneer een gebruiker vanaf deze site een nep-VPN-client probeert te installeren, downloadt het de gecodeerde configuratiegegevens van het internet, downloadt de malware-payload van de URL in de configuratiegegevens - in dit geval de Azorult infostealer - en voert het uit.
Azorult Infostealer
Azorult is een informatiesteler die opgeslagen wachtwoorden, inloggegevens van de browser, cookies, geschiedenis, chatsessies, cryptocurrency-wallets en schermafbeeldingen verzamelt en steelt. Vaak downloadt het ook extra malware naar het geïnfecteerde systeem. De malware genereert eerst een bot-ID om de hostcomputer op unieke wijze te identificeren. Zodra dit is gegenereerd, wordt deze gecodeerd en geencrypt met 3bytes en naar de C&C-server verzonden.
Als reactie op dit verzoek verzendt de server gecodeerde configuratiegegevens. De configuratie omvat directory-paden waar de gegevens kunnen worden gestolen, extra URL's voor uitvoerbare malware, vereiste DLL-modules, browser-targets, getargete cryptocurrency-wallets en alle verdachte strings die door de malware worden gebruikt.
Meer technische achtergronden over deze en andere gevonden infostealer-malware is te vinden in deze blogpost.
Bron: zscaler, dutchitchannel
Schrijver: Wouter Hoeffnagel