Nep VPN-sites verspreiden Infostealer-malware

| Zscaler | 2 min | 21 april 2020 16:58
Afbeelding: Fake Nord VPN-site | Copyright: Zscaler
Zscaler heeft een nieuwe campagne ontdekt die gebruikers probeert te misleiden tot het downloaden en installeren van malware door zich voor te doen als een legitieme VPN-client. Onderdeel van Zscaler's onderzoek is het monitoren van nieuw geregistreerde domeinen (NRD's), omdat ze bron kunnen zijn van nieuwe malware-campagnes. Hierbij kwam het NRD's voor meerdere websites tegen die deden alsof ze gratis VPN-clients aanboden. Wanneer de gebruiker de VPN-client downloadt en uitvoert, wordt deze op de achtergrond uitgevoerd, installeert infostealer-malware en bedient andere malware, zoals een Remote Access Trojan en een banking Trojan. Zscaler stuitte op het domein nordfreevpn[.]com. Wanneer een gebruiker vanaf deze site een VPN-client probeert te installeren, downloadt hij de gecodeerde payload van het internet, decodeert deze en laadt deze in het geheugen voor uitvoer. De gebruiker installeert in feite Grand Stealer-malware die verschillende mogelijkheden heeft, waaronder het stelen van verschillende inloggegevens en cryptocurrency-wallets.
 

Grand Stealer

De Grand Stealer-malware steelt de volgende informatie van het geïnfecteerde systeem:
  • Browserprofielen (inloggegevens, cookies, creditcards, automatisch aanvullen)
  • Gecko-inloggegevens
  • FTP-gegevens
  • RDP-inloggegevens
  • Telegram-sessies
  • Cryptocurrency-wallets
  • Discord-softwaregegevens
  • Desktop-bestanden Screenshots

Fake VPN4Test-site

Zscaler ontdekte ook een valse VPN-site met het domein vpn4test[.]net. Wanneer een gebruiker vanaf deze site een nep-VPN-client probeert te installeren, downloadt het de gecodeerde configuratiegegevens van het internet, downloadt de malware-payload van de URL in de configuratiegegevens - in dit geval de Azorult infostealer - en voert het uit.

Azorult Infostealer

Azorult is een informatiesteler die opgeslagen wachtwoorden, inloggegevens van de browser, cookies, geschiedenis, chatsessies, cryptocurrency-wallets en schermafbeeldingen verzamelt en steelt. Vaak downloadt het ook extra malware naar het geïnfecteerde systeem. De malware genereert eerst een bot-ID om de hostcomputer op unieke wijze te identificeren. Zodra dit is gegenereerd, wordt deze gecodeerd en geencrypt met 3bytes en naar de C&C-server verzonden.

Als reactie op dit verzoek verzendt de server gecodeerde configuratiegegevens. De configuratie omvat directory-paden waar de gegevens kunnen worden gestolen, extra URL's voor uitvoerbare malware, vereiste DLL-modules, browser-targets, getargete cryptocurrency-wallets en alle verdachte strings die door de malware worden gebruikt.

Meer technische achtergronden over deze en andere gevonden infostealer-malware is te vinden in deze blogpost: https://www.zscaler.com/blogs/research/fake-vpn-sites-deliver-infostealers.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Over Zscaler

Zscaler stelt grote, wereldwijde organisaties in staat om veilig hun netwerken en applicaties te transformeren voor een mobile- en cloud-first wereld. De belangrijkste services, Zscaler Internet Access en Zscaler Private Access, zorgen voor snelle, veilige verbindingen tussen gebruikers en applicaties, ongeacht apparaat, locatie of netwerk. Zscaler-services zijn 100% cloud-gebaseerd en bieden de eenvoud, verhoogde beveiliging en verbeterde gebruikerservaring die traditionele appliances of hybride oplossingen niet kunnen evenaren. Zscaler wordt gebruikt in zeer veel landen en heeft een multi-tenant, gedistribueerd cloudbeveiligingsplatform dat duizenden klanten beschermt tegen cyberaanvallen en dataverlies.
Meer over Zscaler

Disclaimer

Dit item is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als het item een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis het originele item leidend.
20191030103431.png
Conference by app developers, for app developers!
20191029200614.jpg
Drive value with data
20191030101402.jpg
De grootste Nederlandse site over Android
20191029224512.jpg
Het no-nonsense internetbureau
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
© 2019-2021, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.