{"id":1041,"date":"2020-04-26T21:00:00","date_gmt":"2020-04-26T19:00:00","guid":{"rendered":"https:\/\/www.felix-bauer-it.de\/blog\/?p=1041"},"modified":"2024-01-21T22:55:16","modified_gmt":"2024-01-21T21:55:16","slug":"gefaelschte-vpn-seiten-verbreiten-schadsoftware","status":"publish","type":"post","link":"https:\/\/www.felix-bauer-it.de\/blog\/gefaelschte-vpn-seiten-verbreiten-schadsoftware\/","title":{"rendered":"Achtung: Gef\u00e4lschte VPN-Seiten verbreiten Schadsoftware"},"content":{"rendered":"

VPNs oder virtuelle private Netzwerke sind pers\u00f6nliche private Verbindungen, die zur Verbindung mit einer \u00f6ffentlichen Internetverbindung verwendet werden. Ein VPN (Virtual Private Network) bringt eine Menge Vorteile: Man ist nicht nur diskreter im Netz unterwegs und kann von Dritten schwieriger erkannt werden, es ist auch kaum m\u00f6glich, den Datenverkehr abzuh\u00f6ren \u2013 etwa in einem offenen WLAN. Deshalb verlangen viele Unternehmen, dass ihre Mitarbeiter sich \u00fcber ein VPN ins Firmennetzwerk einklinken. <\/p>\n\n\n\n

Diverse Anbieter stellen Usern die M\u00f6glichkeit zur Verf\u00fcgung, so ein VPN zu nutzen \u2013 oft gegen entsprechendes Entgelt. Im Zuge der Corona-Verbreitung und der rapiden Zunahme an Home-Office-Arbeitspl\u00e4tzen, sind VPN Anbieter so beliebt wie noch nie. Ein Blick auf Google Trends zeigt, dass sich das Suchvolumen zum Suchbegriff \"VPN\" in den vergangenen Wochen mehr als verdreifacht hat.<\/p>\n\n\n\n

\"Google
Abb. 1: Google Trends \u201eVPN\u201c (Zeitraum: 2 Jahre)<\/figcaption><\/figure>\n\n\n\n

Doch wo die Nachfrage im Internet gro\u00df ist, sind Betr\u00fcger nicht weit. Aktuell sprie\u00dfen t\u00e4glich neue Webseiten aus dem Boden, die b\u00f6sartige VPN-Installationsprogramme anbieten. <\/p>\n\n\n\n

Und die Tatsache, dass VPN-Verbindungen besonders bei Gesch\u00e4ftsleuten beliebt sind, wird vermutlich dazu beigetragen, dass die Zahl der Fake-VPN-Programme in n\u00e4chster Zeit noch weiter zunehmen wird. Die Informationen, die sich auf den Ger\u00e4ten dieser Personen befinden, sind f\u00fcr Cyberkriminelle \u00e4u\u00dferst interessant.<\/p>\n\n\n\n\n\n\n\n

Nachfolgend zwei aktuelle Fake-VPN-Beispiele.<\/p>\n\n\n\n

Update: Kurz nach Ver\u00f6ffentlichung dieses Artikels bekam ich eine Spam-Mail, in der f\u00fcr die VPN Fake-Seite InterVPN[.]pro geworben wird. Achtung, auch diese VPN-Seite verbreitet Malware! Der Anteil solcher Spam-Mails, wird in den n\u00e4chsten Wochen vermutlich stark steigen.<\/em><\/p>\n\n\n\n

NordfreeVPN[.]com<\/h2>\n\n\n\n
\"Nordfreevpn.com\"
Abb. 2: NordfreeVPN[.]com<\/figcaption><\/figure>\n\n\n\n

NordVPN (NordVPN.com) ist eigentlich ein seri\u00f6ser VPN-Anbieter, der bereits seit vielen Jahren f\u00fcr Sicherheit und Anonymit\u00e4t beim Surfen sorgt.<\/p>\n\n\n\n

Doch derzeit wird der Firmenname von Cyberkriminellen missbraucht. \u00dcber NordfreeVPN[.]com, einer t\u00e4uschend echt aussehenden Kopie der originalen NordVPN-Internetseite, verbreiten Betr\u00fcger eine 30-t\u00e4gige VPN-Testversion die Malware enth\u00e4lt.<\/p>\n\n\n\n

Ein Blick auf die Whois-Informationen der Domain offenbart, dass die Domain erst 38 Tage alt ist.<\/p>\n\n\n\n

\"Whois
Abb. 3: Whois NordfreeVPN[.]com<\/figcaption><\/figure>\n\n\n\n

Sobald der Computerbenutzer das Installationsprogramm von NordfreeVPN[.]com herunterl\u00e4dt und startet, wird ein Payload geladen und ausgel\u00f6st. Dieser l\u00e4dt im Hintergrund den Infostealer \"Grand Stealer\".<\/p>\n\n\n\n

Die Malware kann zahlreiche Daten abgreifen: Browser-Profile (Anmeldedaten, Cookies, Kreditkarten, Auto-Fill), Gecko-Anmeldeinformationen, FTP-Zugangsdaten, RDP-Zugangsdaten, Telegramm-Sitzungen, Kryptow\u00e4hrungen, Desktop-Dateien und Screenshots.<\/p>\n\n\n\n

Des Weiteren kann die Malware weitere Schadprogramme nachladen und so zum Beispiel Dateien l\u00f6schen \/ verschl\u00fcsseln oder Tastaturanschl\u00e4ge mitprotokollieren.<\/p>\n\n\n\n

\"Ablauf
Abb. 4: Ablauf der Malware-Infektion - nordfreevpn[.]com <\/figcaption><\/figure>\n\n\n\n

Es gibt keinen Hinweis auf den Befall. Erst wenn eine Antiviren-Software Alarm schl\u00e4gt, f\u00e4llt das Problem auf. Laut Virustotal erkennen jedoch erst 5 von 79 Virenscannern den Schadcode (signaturbasierte Erkennung) .<\/p>\n\n\n\n

\"Virustotal
Abb. 5: Virustotal Analyse nordfreevpn[.]com\/NordVPN.exe<\/figcaption><\/figure>\n\n\n\n

VPN4Test[.]net<\/h2>\n\n\n\n
\"VPN4Test.net\"
Abb. 6: Fake VPN-Seite: VPN4Test[.]net <\/figcaption><\/figure>\n\n\n\n

Bei einem weiteren Beispiel wird der VPN-Anbieter VPN4Test (vpn4test.com) dazu missbraucht, Vertrauen bei den Benutzern zu wecken.<\/p>\n\n\n\n

Es handelt sich um die Fake-Seite VPN4Test[.]net. Auch diese Fake-Seite kommt dem Original optisch sehr nahe.<\/p>\n\n\n\n

Registriert wurde die Domain vor 24 Tagen.<\/p>\n\n\n\n

\"VPN4Test.net
Abb. 7: Whois VPN4Test[.]net<\/figcaption><\/figure>\n\n\n\n

Nat\u00fcrlich will man nur Ihr Bestes und bietet einen dauerhaft kostenlosen VPN Zugang an...<\/p>\n\n\n\n

Das Fake-Installationsprogramm installiert die Infostealer \"Azorult\" & \"Masad Stealer\" sowie den Remote Access-Trojaner \"Parasite\".<\/p>\n\n\n\n

Die Infostealer kapern zahlreiche sensible Informationen: gespeicherte Passw\u00f6rter, Browser-Anmeldedaten, Browser-Verl\u00e4ufe, Cookies, Chat-Sitzungen, Kryptow\u00e4hrungen, FTP-Zugangsdaten, Screenshots und Desktop-Dateien.<\/p>\n\n\n\n

Der RAT Trojaner \"Parasite\" kann das infizierte Ziel durchforsten, den Zugriff auf andere Ressourcen ausbauen, die h\u00f6here Privilegien voraussetzen und bei Bedarf auch weitere Schadprogramme herunterladen. In meiner Testumgebung wurde der Banking-Trojaner \"NukeBot\" heruntergeladen. Ein Banking-Trojaner, der sensible Informationen stiehlt.<\/p>\n\n\n\n

\"Ablauf
Abb. 8: Ablauf der Malware-Infektion - VPN4Test[.]net<\/figcaption><\/figure>\n\n\n\n

Lediglich die Antiviren-Engines von Avira, CRDF, Forcepoint, G-Data, Netcraft und Sophos erkennen den Schadcode aktuell.<\/p>\n\n\n\n

\"Virustotal
Abb. 9: Virustotal Analyse VPN4Test[.]net\/download@file=windows<\/figcaption><\/figure>\n\n\n\n

Vorsicht bei der Wahl eines VPN-Anbieters<\/h2>\n\n\n\n

Das waren nur zwei Beispiele, es gibt noch viele weitere! Anscheinend funktioniert die Masche sehr gut.<\/p>\n\n\n\n

Wenn Sie ein VPN-Dienst nutzen m\u00f6chten, w\u00e4hlen Sie einen etablierten VPN-Anbieter<\/a> mit einwandfreiem Ruf. Und laden Sie sich die VPN-Software nur direkt von der Anbieterseite herunter<\/strong>. F\u00fchren Sie eine Google-Recherche durch. Mit der Internetadresse des VPN-Unternehmens, und schauen Sie, ob Sie dort Auff\u00e4lligkeiten finden. Sehr oft sehen gef\u00e4lschte Internetseiten genauso aus wie die echten. Je nachdem, wie gut die Betr\u00fcger ihre \u201eHausaufgaben\u201c gemacht haben.<\/p>\n\n\n\n

Am Ende dieses Artikels liste ich einige VPN-Anbieter auf, die bereits l\u00e4nger auf dem Markt sind und als etabliert gelten (keine Wertung).<\/p>\n\n\n\n

Weitere Virenschutz-Tipps<\/h3>\n\n\n\n