Este blog é sobre como tentar fazer a “coisa certa” pode levar você direto para uma armadilha. Pessoas que procuravam uma VPN acabavam baixando malware para roubo de credenciais.
Do ponto de vista da vítima, a sua confiança foi explorada em todas as etapas: confiança nos motores de busca, nos logótipos familiares, nas assinaturas digitais e na suposição de que, se as coisas “funcionam no final”, devem estar seguras.
Imagine que você está procurando um cliente VPN para se conectar à rede do seu empregador. Você usa seu mecanismo de busca favorito e, no topo dos resultados da pesquisa, vê exatamente o que procurava: listagens que parecem pertencer a nomes consagrados no setor. Eles têm o logotipo certo, o nome do produto certo e uma descrição que parece legítima.
Mas o que você está vendo, nos casos que a Microsoft descreveos resultados da pesquisa são influenciados por Envenenamento por SEO. O envenenamento da otimização de mecanismos de pesquisa (SEO) se resume a fazer com que uma página da web tenha uma classificação elevada em resultados de pesquisa relevantes, sem comprar anúncios ou seguir práticas recomendadas de SEO legítimas, mas tediosas. Em vez disso, os cibercriminosos usam meios enganosos ou totalmente ilegais para levar suas páginas ao topo.
Na página falsificada – talvez até clonada – da VPN, tudo parece familiar: a marca do fornecedor, o nome do produto e uma breve sinopse sobre acesso remoto seguro. Mais importante ainda, há um botão de download proeminente. Você clica, esperando um instalador de um fornecedor confiável, mas o site o redireciona silenciosamente para um download de versão do GitHub, oferecendo um arquivo ZIP chamado algo parecido com VPN-CLIENT.zip.
GitHub é um canal de distribuição favorito para autores de malware porque é amplamente confiável. Nesta campanha, os criminosos chegaram a assinar seu processo com um certificado legítimo, que já foi revogado. O arquivo ZIP baixado contém um arquivo Microsoft Software Installer (.msi) que conduz a vítima pela rotina usual de Instalar, Próximo, Próximo, Concluir, enquanto carrega arquivos maliciosos de biblioteca de vínculo dinâmico (DLL) durante a instalação.
Uma dessas DLLs, dwmapi.dllestá agindo como um carregador, lançando shellcode incorporado que, por sua vez, executa inspector.dlluma variante do infostealer Hyrax. A partir do momento em que a instalação termina, seu cliente VPN não é apenas um cliente, mas também um ladrão de credenciais.
Quando você começa a usar sua nova VPN, várias coisas acontecem em rápida sucessão:
- O cliente VPN falso captura seu nome de usuário, senha e URI de destino e entrega esses dados ao componente infostealer Hyrax.
- Hyrax também lê dados de configuração VPN existentes, coletando quaisquer conexões armazenadas e credenciais salvas.
- O malware envia todas as informações roubadas para uma infraestrutura controlada pelo invasor.
Tudo o que o usuário vê é um erro que parece plausível, como “falha na conexão” ou “problema de instalação”. Para completar, o malware fornece instruções para baixar o cliente VPN legítimo de fontes oficiais. Em certos casos, ele até abre o navegador do usuário para o site VPN real. Tudo isso, claro, para aliviar suspeitas.
O resto acontece na rede do empregador. O invasor agora pode fazer login na VPN corporativa como você, a partir da infraestrutura que ele controla, e imediatamente se misturar ao tráfego normal de acesso remoto. Se sua conta tiver acesso a compartilhamentos de arquivos, painéis de administração internos, sistemas de tickets ou serviços em nuvem, eles poderão começar a explorar ou abusar desses recursos.
Como ficar longe de clientes VPN falsos
Agora que você sabe o que procurar, já está um passo à frente. Aqui estão algumas dicas mais gerais para se manter seguro:
- Nunca confie apenas nos resultados da pesquisa, especialmente para software de segurança. Vá direto para o site do fornecedor.
- Verifique novamente o domínio antes de fazer download. Você ainda está no site do fornecedor ou em uma plataforma confiável? Se necessário, verifique o link de download com seu departamento de TI.
- Relate instalações de VPN “com falha” à TI. Não continue tentando novamente. Uma falha inesperada seguida de um redirecionamento deve levantar uma bandeira vermelha.
- Não armazene credenciais VPN corporativas em gerenciadores de senhas ou navegadores pessoais.
Se você já instalou um cliente VPN de um site não confiável ou de um domínio incomum, presuma que suas credenciais VPN podem estar comprometidas e solicite uma redefinição.
Não informamos apenas sobre privacidade – oferecemos a você a opção de usá-la.
Os riscos de privacidade nunca devem ultrapassar uma manchete. Mantenha sua privacidade online usando o Malwarebytes Privacy VPN.
Deseja saber mais sobre Segurança Clique Aqui!
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.