VPN-apps worden steeds populairder onder het publiek. Het lijkt erop dat kwaadwillende actoren dit hebben beseft en deze hebben opgenomen in hun talloze strategieën om potentiële slachtoffers te misleiden. Google waarschuwt nu voor een dreiging die gepaard gaat met getrojaniseerde VPN-apps en de manipulatie van zoekresultaten om malware te installeren.
Het Managed Defense-team van Google ontdekte een methode die erop gericht is de gebruiker te misleiden om VPN-apps te downloaden van kwaadaardige websites die zich voordeden als de officiële. De VPN-app is getrojaniseerd zodat de aanvallers, door deze te installeren, een reeks rechten voor externe acties op uw pc kunnen verkrijgen.
Google waarschuwt voor bedreigingen gebaseerd op getrojaniseerde VPN-apps
Volgens het rapport van de onderzoekers “is de malware wordt gebundeld met populaire applicaties, zoals LetsVPN, en verspreid via SEO-vergiftiging.” SEO-vergiftiging is een manipulatiemethode die door aanvallers wordt gebruikt om hun eigen websites bovenaan de zoekresultaten te plaatsen. Hierdoor denken gebruikers dat ze een legitieme website bezoeken, terwijl deze in werkelijkheid kwaadaardig is.
Meestal denken mensen dat een website betrouwbaarder of realistischer is als deze hoger in de zoekresultaten staat. SEO-vergiftiging wordt voornamelijk toegepast op resultaten gerelateerd aan downloads van VPN-apps. De eerste resultaten leiden echter feitelijk tot het downloaden van VPN’s die zijn getrojaniseerd met de “Playfulghost”-malware. Speelse geest is “een achterdeur die functionaliteit deelt met Gh0st RAT,zegt het rapport.
Gh0st RAT (Remote Access Terminal) is een tool voor extern beheer die al sinds 2008 bestaat. Aanvallen op basis van deze technologie zijn dus niet bepaald nieuw. Playfulghost is vergelijkbaar. Het heeft echter zijn eigen verkeers- en versleutelingspatronen die het anders genoeg maken om een ander hulpmiddel te worden genoemd.
De malware geeft aanvallers externe toegang tot uw pc
Playfulghost biedt de aanvaller verschillende mogelijkheden voor afstandsbediening van de geïnfecteerde computer. Kwaadwillige actoren kunnen bijvoorbeeld nieuwe bestanden openen, verwijderen en schrijven. Bovendien kan de tool sleutellogboeken, schermafbeeldingen en audio vastleggen en naar een externe server verzenden.
SEO-vergiftiging is niet de enige trucmethode die door aanvallers wordt gebruikt. Ze nemen ook hun toevlucht tot klassieke phishing-aanvallen via e-mails met links naar kwaadaardige sites waar ze getrojaniseerde VPN’s kunnen downloaden. Het is opmerkelijk dat er ook gevallen zijn van infectie door gecamoufleerde uitvoerbare bestanden. Google beschrijft het geval van een slachtoffer dat een ‘afbeelding’ opende die eigenlijk de Playfulghost-malware was.
Gezien wat we hebben gezien, kun je niet 100% vertrouwen op de positionering van een website in de resultaten van zoekmachines om de legitimiteit ervan te bepalen. Als u dus software wilt downloaden, kunt u het beste de naam van de officiële site typen. Dit kost u meer tijd, maar het kan u veel kopzorgen besparen.
