Achtung: Gefälschte VPN-Seiten verbreiten Schadsoftware

VPNs oder virtuelle private Netzwerke sind persönliche private Verbindungen, die zur Verbindung mit einer öffentlichen Internetverbindung verwendet werden. Ein VPN (Virtual Private Network) bringt eine Menge Vorteile: Man ist nicht nur diskreter im Netz unterwegs und kann von Dritten schwieriger erkannt werden, es ist auch kaum möglich, den Datenverkehr abzuhören – etwa in einem offenen WLAN. Deshalb verlangen viele Unternehmen, dass ihre Mitarbeiter sich über ein VPN ins Firmennetzwerk einklinken.

Diverse Anbieter stellen Usern die Möglichkeit zur Verfügung, so ein VPN zu nutzen – oft gegen entsprechendes Entgelt. Im Zuge der Corona-Verbreitung und der rapiden Zunahme an Home-Office-Arbeitsplätzen, sind VPN Anbieter so beliebt wie noch nie. Ein Blick auf Google Trends zeigt, dass sich das Suchvolumen zum Suchbegriff „VPN“ in den vergangenen Wochen mehr als verdreifacht hat.

Google Trends VPN
Abb. 1: Google Trends „VPN“ (Zeitraum: 2 Jahre)

Doch wo die Nachfrage im Internet groß ist, sind Betrüger nicht weit. Aktuell sprießen täglich neue Webseiten aus dem Boden, die bösartige VPN-Installationsprogramme anbieten.

Und die Tatsache, dass VPN-Verbindungen besonders bei Geschäftsleuten beliebt sind, wird vermutlich dazu beigetragen, dass die Zahl der Fake-VPN-Programme in nächster Zeit noch weiter zunehmen wird. Die Informationen, die sich auf den Geräten dieser Personen befinden, sind für Cyberkriminelle äußerst interessant.

Nachfolgend zwei aktuelle Fake-VPN-Beispiele.

Update: Kurz nach Veröffentlichung dieses Artikels bekam ich eine Spam-Mail, in der für die VPN Fake-Seite InterVPN[.]pro geworben wird. Achtung, auch diese VPN-Seite verbreitet Malware! Der Anteil solcher Spam-Mails, wird in den nächsten Wochen vermutlich stark steigen.

NordfreeVPN[.]com

Nordfreevpn.com
Abb. 2: NordfreeVPN[.]com

NordVPN (NordVPN.com) ist eigentlich ein seriöser VPN-Anbieter, der bereits seit vielen Jahren für Sicherheit und Anonymität beim Surfen sorgt.

Doch derzeit wird der Firmenname von Cyberkriminellen missbraucht. Über NordfreeVPN[.]com, einer täuschend echt aussehenden Kopie der originalen NordVPN-Internetseite, verbreiten Betrüger eine 30-tägige VPN-Testversion die Malware enthält.

Ein Blick auf die Whois-Informationen der Domain offenbart, dass die Domain erst 38 Tage alt ist.

Whois  NordfreeVPN.com
Abb. 3: Whois NordfreeVPN[.]com

Sobald der Computerbenutzer das Installationsprogramm von NordfreeVPN[.]com herunterlädt und startet, wird ein Payload geladen und ausgelöst. Dieser lädt im Hintergrund den Infostealer „Grand Stealer“.

Die Malware kann zahlreiche Daten abgreifen: Browser-Profile (Anmeldedaten, Cookies, Kreditkarten, Auto-Fill), Gecko-Anmeldeinformationen, FTP-Zugangsdaten, RDP-Zugangsdaten, Telegramm-Sitzungen, Kryptowährungen, Desktop-Dateien und Screenshots.

Des Weiteren kann die Malware weitere Schadprogramme nachladen und so zum Beispiel Dateien löschen / verschlüsseln oder Tastaturanschläge mitprotokollieren.

Ablauf der Malware-Infektion - nordfreevpn.com
Abb. 4: Ablauf der Malware-Infektion – nordfreevpn[.]com

Es gibt keinen Hinweis auf den Befall. Erst wenn eine Antiviren-Software Alarm schlägt, fällt das Problem auf. Laut Virustotal erkennen jedoch erst 5 von 79 Virenscannern den Schadcode (signaturbasierte Erkennung) .

Virustotal Analyse nordfreevpn
Abb. 5: Virustotal Analyse nordfreevpn[.]com/NordVPN.exe

VPN4Test[.]net

VPN4Test.net
Abb. 6: Fake VPN-Seite: VPN4Test[.]net

Bei einem weiteren Beispiel wird der VPN-Anbieter VPN4Test (vpn4test.com) dazu missbraucht, Vertrauen bei den Benutzern zu wecken.

Es handelt sich um die Fake-Seite VPN4Test[.]net. Auch diese Fake-Seite kommt dem Original optisch sehr nahe.

Registriert wurde die Domain vor 24 Tagen.

VPN4Test.net Whois
Abb. 7: Whois VPN4Test[.]net

Natürlich will man nur Ihr Bestes und bietet einen dauerhaft kostenlosen VPN Zugang an…

Das Fake-Installationsprogramm installiert die Infostealer „Azorult“ & „Masad Stealer“ sowie den Remote Access-Trojaner „Parasite“.

Die Infostealer kapern zahlreiche sensible Informationen: gespeicherte Passwörter, Browser-Anmeldedaten, Browser-Verläufe, Cookies, Chat-Sitzungen, Kryptowährungen, FTP-Zugangsdaten, Screenshots und Desktop-Dateien.

Der RAT Trojaner „Parasite“ kann das infizierte Ziel durchforsten, den Zugriff auf andere Ressourcen ausbauen, die höhere Privilegien voraussetzen und bei Bedarf auch weitere Schadprogramme herunterladen. In meiner Testumgebung wurde der Banking-Trojaner „NukeBot“ heruntergeladen. Ein Banking-Trojaner, der sensible Informationen stiehlt.

Ablauf der Malware-Infektion - VPN4Test.net
Abb. 8: Ablauf der Malware-Infektion – VPN4Test[.]net

Lediglich die Antiviren-Engines von Avira, CRDF, Forcepoint, G-Data, Netcraft und Sophos erkennen den Schadcode aktuell.

Virustotal Analyse VPN4Test.net
Abb. 9: Virustotal Analyse VPN4Test[.]net/download@file=windows

Vorsicht bei der Wahl eines VPN-Anbieters

Das waren nur zwei Beispiele, es gibt noch viele weitere! Anscheinend funktioniert die Masche sehr gut.

Wenn Sie ein VPN-Dienst nutzen möchten, wählen Sie einen etablierten VPN-Anbieter mit einwandfreiem Ruf. Und laden Sie sich die VPN-Software nur direkt von der Anbieterseite herunter. Führen Sie eine Google-Recherche durch. Mit der Internetadresse des VPN-Unternehmens, und schauen Sie, ob Sie dort Auffälligkeiten finden. Sehr oft sehen gefälschte Internetseiten genauso aus wie die echten. Je nachdem, wie gut die Betrüger ihre „Hausaufgaben“ gemacht haben.

Am Ende dieses Artikels liste ich einige VPN-Anbieter auf, die bereits länger auf dem Markt sind und als etabliert gelten (keine Wertung).

Weitere Virenschutz-Tipps

  • Behandeln Sie ausführbare Inhalte grundsätzlich mit äußerster Vorsicht – wo auch immer sie herkommen mögen.
  • Im Gegensatz zu den Anfängen des Phänomens Malware sind die Malware-Autoren inzwischen bestrebt, ihre Schadsoftware möglichst unauffällig einzusetzen. Auf das Anzeigen von Meldungen wird weitgehend verzichtet. So kann die Malware für verschiedene Geschäftsmodelle eingesetzt werden. Nutzen Sie eine Antiviren-Software, um Malware zu entdecken. Aber gehen Sie nicht davon aus, dass Sie die Software vor allen Gefahren schützen wird.
  • Gehen Sie niemals davon aus, dass eine E-Mail von einem bestimmten Konto mit dem Wissen und der Absicht der Person übermittelt wurde, die dieses Konto nutzt. Gehackte E-Mail-Konten werden sehr gerne zur Malware-Verbreitung genutzt.
  • Immer neue Datenskandale zeigen, dass sich der Nutzer nicht auf eine staatliche Kontrolle und das Einhalten der gesetzlichen Vorgaben durch Internetdienstanbieter verlassen sollte, sondern seine Daten selbst aktiv schützen muss. Verbraucher sollten dabei so wenige Daten wie möglich bzw. nur die Daten, die für bestimmte Zwecke notwendig sind, im Internet preisgeben. Personenbezogen sind alle Daten, die entweder einer Person zugeordnet sind oder mit einigem Aufwand zugeordnet werden können, z. B. Name, Alter, Anschrift oder Telefonnummer.
  • Der Kern eines umfassenden Virenschutz-Konzepts enthält immer eine regelmäßige Datensicherung. Machen Sie mehrere Backups, am besten auf unterschiedliche Medien.
  • Man sollte immer mit einberechnen, dass das Internet grundsätzlich unsicher und riskant ist. Trotz aller Patches, aufgespielter Updates und einem installierten Virenscanner, kann etwas passieren. Misstrauen ist immer angebracht, auch wenn man nur ein wenig recherchieren möchte.
  • Weitere Virenschutz-Tipps auf bleib-Virenfrei.de

Seriöse VPN-Dienste

Die VPN-Anbieter sind nach dem Alphabet sortiert. Die Reihenfolge stellt keine Wertung dar.

VPN-Anbieter Rechtsprechung Log-Dateien Verschlüsselung Server Preis / Jahr
Avira Phantom VPN Deutschland Ja AES-256 ? € 60
CyberGhostVPN.com Rumänien Nein AES-256 607 € 72
ExpressVPN.com British Virgin Islands Ja CA-4096 1500 € 100
NordVPN.com Panama Nein AES-256 5700 € 130
PureVPN.com Hong Kong Nein AES-256 500 $ 100
Surfshark.com British Virgin Islands Nein AES-256 800 € 60

Felix Bauer
Felix Bauer
Felix Bauer ist IT-Security Consultant und IT Fachjournalist (Themen: IT-Sicherheit und Datenschutz). Felix Bauer ist seit 20 Jahren in der IT-Sicherheitsbranche tätig. Sein Hauptschwerpunkt liegt auf dem Thema „Virenschutz für Endanwender“. Felix Bauer ist OpenSource-Evangelist und besitzt den Master of Science in Security and Forensic Computing. Felix Bauer hat bereits an zahlreichen IT-Sicherheitskonferenzen uns sonstigen IT-Sicherheitstagungen teilgenommen und diverse professionelle Qualifikationen im Bereich der IT-Sicherheit.

2 Kommentare

  1. Hallo Felix, vielen Dank für die ausführliche Erklärung. Auf der Suche nach einem zuverlässigen VPN-Anbieter bin ich auf NordfreeVPN gestoßen. Gottseidank habe ich mich zunächst informiert. DANKE!

Schreibe einen Kommentar zu Klaus Gerber Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.