Sicherheitsexperten warnen vor gefälschten VPN-Installationsdateien. Die getarnte Schadsoftware GoodPersonRAT ermöglicht die vollständige Systemübernahme.
Sicherheitsanalysten des Unternehmens ThreatLocker haben eine bösartige Kampagne identifiziert, bei der manipulierte Windows-Installationsdateien eingesetzt werden. Diese Dateien geben sich als Installationspakete für Kuailian VPN, auch bekannt als LetsVPN, aus. LetsVPN wird häufig genutzt, um staatliche Internet-Zensuren zu umgehen. Die präparierte Datei trägt den Namen Kuailian_win-setup.86.msi und enthält neben der echten, digital signierten VPN-Anwendung ein Schadprogramm namens GoodPersonRAT. Um den Infektionsvorgang vor Anwendern zu verbergen, installiert das Paket zunächst die Schadsoftware im Hintergrund, bevor im Anschluss das legitime VPN-Programm gestartet wird. Dadurch wird den Betroffenen ein regulärer Installationsprozess vorgetäuscht.
Schadcode agiert ausschließlich im Arbeitsspeicher
Die Schadsoftware nutzt ein mehrstufiges Verfahren zur Infektion. Nach dem Ausführen der MSI-Datei agiert der Schadcode zunächst als Ladeprogramm, welches den eigentlichen Trojaner direkt in den Arbeitsspeicher des Systems lädt. Da die Nutzlast die Festplatte des Computers nicht direkt berührt, bleibt sie von dateibasierten Erkennungsmethoden herkömmlicher Sicherheitssoftware unbemerkt. Zur Kommunikation mit den Angreifern ist das Schadprogramm mit einer Liste von 40 Steuerungs-Servern ausgestattet. Die Namensgebung einiger dieser Domains leitet sich vom chinesischen Begriff Nishihaoren ab, was übersetzt „du bist ein guter Mensch“ bedeutet. Im offiziellen Bericht der Analysten heißt es zu diesem Mechanismus:
„Dieser Installer schleust einen verschlüsselten RAT (Remote Access Trojaner) ein und führt ihn aus, was Angreifern die vollständige Kontrolle über die Maschine eines Opfers und deren Daten gibt.“
ThreatLocker
Umfangreiche Funktionen zur Datenexfiltration und Systemsteuerung über VPN
Der Trojaner sichert sich über das Registrieren von Windows-Diensten sowie über geplante Aufgaben mit System-Rechten eine dauerhafte Präsenz auf dem infizierten Computer. Dies ermöglicht einen automatischen Start noch vor der Benutzeranmeldung. Die Steuerungsfunktionen des Trojaners umfassen folgende Aktivitäten:
- Überwachung von Bildschirminhalten und Zwischenablagen
- Protokollierung aller Tastatureingaben
- Auslesen von Browser-Daten wie Cookies, Profilen und dem Verlauf
- Diebstahl von Sitzungsdaten der Anwendung Telegram Desktop
- Ausführen beliebiger Systembefehle auf der betroffenen Maschine
Um Erkennungsmechanismen zu erschweren, löscht das Schadprogramm bestehende Browser-Sitzungen und Cookies. Dadurch werden Anwender gezwungen, ihre Zugangsdaten erneut einzugeben, welche anschließend über die integrierte Tastaturprotokollierung abgegriffen werden. Das Deaktivieren von Sicherheitsfunktionen von Microsoft Defender gehört ebenfalls zum Repertoire des Trojaners. Genaue Daten über die genutzten Verbreitungswege liegen bislang nicht vor, Experten vermuten jedoch den Einsatz von manipulierter Suchmaschinenwerbung oder Phishing-Links.
(red)