Χάκερ κρύβουν κακόβουλο λογισμικό μέσα σε ψεύτικους εγκαταστάτες VPN

Μία μόνο λανθασμένη πληκτρολόγηση διεύθυνσης ιστού ή ένα κλικ σε λάθος αποτέλεσμα αναζήτησης είναι πλέον αρκετά για να παραδώσετε ολόκληρο τον υπολογιστή σας σε έναν άγνωστο. Ερευνητές ασφαλείας μόλις εντόπισαν ένα ψεύτικο πρόγραμμα εγκατάστασης VPN που κάνει ακριβώς αυτό και στοχεύει άτομα που προσπαθούν εξαρχής μόνο να προστατεύσουν το απόρρητό τους.

⚠️ Το ψηφιακό σας δακτυλικό αποτύπωμα (διεύθυνση IP) είναι εκτεθειμένο!

Η διεύθυνση IP σας είναι: ανίχνευση…

Κάντε streaming/λήψη ανώνυμα με το Private Internet Access.

🌐 Μόνο 1,99€ / μήνα + 2 μήνες δώρο
Δεν αποθηκεύουμε τη διεύθυνση IP σας. Η ανίχνευση γίνεται τοπικά στον browser σας.
Ακολουθήστε το κανάλι του Tech στο Telegram

Οι πληροφορίες που περιέχονται στο techvortex.eu προορίζονται μόνο για γενικούς σκοπούς πληροφόρησης.

Αυτός ακριβώς είναι ο λόγος που λέμε πάντα στους ανθρώπους να χρησιμοποιούν μόνο ένα αξιόπιστο VPN από την πηγή, ποτέ έναν τυχαίο σύνδεσμο. Δυστυχώς, αυτά τα είδη προβλημάτων είναι συνηθισμένα στα δωρεάν VPN.

Μια έκθεση για την κυβερνοασφάλεια διαπίστωσε ότι εισβολείς διένειμαν προγράμματα εγκατάστασης με trojan, τα οποία παρίσταναν Kuailian VPN (LetsVPN) , ένα δημοφιλές εργαλείο για την παράκαμψη της λογοκρισίας στο διαδίκτυο στην Κίνα. Αυτός ο πάροχος VPN έχει εκατομμύρια λήψεις από το Google Play και το Apple App Store.

Το LetsVPN έχει πάνω από 5 εκατομμύρια λήψεις στο Google Play
Το LetsVPN έχει πάνω από 5 εκατομμύρια λήψεις στο Google Play

Εγκαταστήστε ένα από αυτά τα ψεύτικα και δεν θα αποκτήσετε απλώς το VPN. Θα αποκτήσετε ένα κρυφό trojan απομακρυσμένης πρόσβασης που αποκτά αθόρυβα τον πλήρη έλεγχο του υπολογιστή σας. Αυτό που το κάνει ακόμα πιο ύπουλο είναι ότι εξακολουθεί να εγκαθιστά την πραγματική, υπογεγραμμένη εφαρμογή VPN μετά την αφαίρεση του κακόβουλου λογισμικού, έτσι ώστε το θύμα να πιστεύει ότι όλα λειτούργησαν καλά.

Λεπτομέρειες αυτού του ψεύτικου κακόβουλου λογισμικού VPN (GoodPersonRAT)

Το κακόβουλο λογισμικό ξεκινά ως ένα πρόγραμμα φόρτωσης κελύφους (shellcode loader) που τηλεφωνεί σε έναν διακομιστή εντολών και ελέγχου. Το τελικό φορτίο φορτώνεται απευθείας στη μνήμη και δεν αγγίζει ποτέ τον δίσκο, γεγονός που του επιτρέπει να ξεγλιστράει αμέσως μετά τις σαρώσεις προστασίας από ιούς που βασίζονται σε αρχεία.

Διάγραμμα Αλυσίδας Εκτέλεσης
Διάγραμμα Αλυσίδας Εκτέλεσης (Πηγή Εικόνας: ThreatLocker )

Για να παραμείνει προσβάσιμο, εναλλάσσεται μέσω ενός δικτύου 40 πιθανών διακομιστών C2 . Αρκετά από αυτά τα domains βασίζονται στο «Nishihaoren», το οποίο μεταφράζεται από τα απλοποιημένα κινέζικα ως «είσαι καλός άνθρωπος», γι’ αυτό και οι ερευνητές ονόμασαν την απειλή GoodPersonRAT.

Η λίστα χαρακτηριστικών μοιάζει με ένα πλήρες κιτ παρακολούθησης. Παρακολουθεί την οθόνη σας, καταγράφει τα πλήκτρα, λαμβάνει περιεχόμενο από το πρόχειρο και σαρώνει τα τοπικά προγράμματα περιήγησης για cookies, αποθηκευμένες συνδέσεις, προφίλ και ιστορικό.

Στοχεύει επίσης το Telegram Desktop και δίνει στον εισβολέα την ελευθερία να εκτελέσει οποιαδήποτε εντολή θέλει. Ακόμα και χωρίς να αφήνει αρχεία πίσω, διεισδύει στην εγγραφή υπηρεσίας και στις προγραμματισμένες εργασίες σε επίπεδο SYSTEM που ενεργοποιούνται πριν καν συνδεθείτε.

Τελικές Σκέψεις

Αυτή η ιστορία είναι θλιβερή επειδή θίγει άτομα που ενδιαφέρονται για την προστασία της ιδιωτικής ζωής, πολλά από τα οποία έχουν κολλήσει πίσω από το Μεγάλο Τείχος Προστασίας στην Κίνα. Έχω δει απατεώνες να κλωνοποιούν νόμιμες εφαρμογές εδώ και χρόνια και συνεχίζουν να προωθούν αυτές τις απομιμήσεις μέσω δηλητηριάσεων αναζήτησης, αμφιλεγόμενων διαφημίσεων και ιστοσελίδων αντιγραφής λήψεων.

Λάβετε εφαρμογές μόνο από τον επίσημο προγραμματιστή, ποτέ από ένα τυχαίο αποτέλεσμα αναζήτησης. Πριν εγκαταστήσετε οτιδήποτε από μια μη επαληθευμένη πηγή, σαρώστε το πρώτα με το VirusTotal. Σας προτείνω επίσης να επισκεφτείτε τον οδηγό VPN για οδηγίες σχετικά με τον τρόπο ρύθμισης μιας νόμιμης εφαρμογής VPN.

Για περισσότερες λεπτομέρειες σχετικά με αυτήν την ιστορία, ανατρέξτε στην αρχική αναφορά από το ThreatLocker .

Έχετε εντοπίσει ποτέ μια ψεύτικη εφαρμογή πριν την εγκαταστήσετε; Πείτε μας πώς στα σχόλια παρακάτω.

Αφήστε ένα Σχόλιο

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Κύλιση στην κορυφή