МОСКВА, 14 апреля, ФедералПресс. Злоумышленники используют методы SEO-отравления для распространения поддельных VPN-клиентов, предназначенных для кражи корпоративных учетных данных. Они продвигают в поисковой выдаче сайты, имитирующие страницы крупных вендоров, откуда пользователям предлагается скачать архивы с вредоносным ПО.
Загружаемые архивы содержат установщик, внешне повторяющий легитимные VPN-клиенты. После запуска он размещает файлы в системных каталогах и загружает вредоносные библиотеки, включая загрузчик кода в памяти и инфостилер, предназначенный для сбора учетных данных и конфигураций. При этом вредоносные компоненты были подписаны действительным цифровым сертификатом, который впоследствии был отозван.
В процессе установки пользователю демонстрируется поддельный интерфейс авторизации, визуально совпадающий с оригинальным приложением. Введенные логин и пароль передаются на управляющий сервер злоумышленников, после чего отображается сообщение об ошибке с предложением загрузить официальный клиент. В случае успешной установки настоящего ПО инцидент может остаться незамеченным, так как воспринимается как технический сбой. Для закрепления в системе вредонос добавляет себя в автозагрузку и продолжает сбор данных.
Член Общественного совета при Минцифры России, заместитель председателя комиссии ОП РФ по безопасности и взаимодействию с ОНК Георгий Волков заявил, что общедоступные бесплатные VPN-сервисы давно перестали быть просто инструментом приватности и все чаще используется злоумышленниками как удобная маскировка для атак.
«Мы регулярно видим случаи компрометации через такие сервисы, включая корпоративный сектор. Но не стоит теперь думать, что мошенников интересуют только организации. Да, частный пользователь не является приоритетной целью, но в этом случае ставка делается не на точечные удары, а на массовость», – отметил он.
По словам эксперта, вредонос распространяется под видом якобы полезного инструмента, и этого уже достаточно. Если даже компании с ресурсами и специалистами допускают такие инциденты, то говорить о защищенности обычных пользователей не приходится.
Член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин подчеркнул, что VPN-сервисы все чаще становятся точкой входа для атак. Это касается как обычных пользователей, так и крупных компаний. При этом парадокс в том, что рядовой пользователь редко становится целью целенаправленной атаки, но это и не требуется: достаточно массового распространения различных «ускорителей» и зараженных инструментов обхода. И если даже крупные организации с полноценными командами кибербезопасности периодически не справляются с такими угрозами, то у обычного пользователя риски выше по определению.
Ранее сообщалось, как «ускорители интернета» могут лишить вас аккаунта и денег.
Фото: ФедералПресс / Полина Зиновьева