Gefälschter VPN-Installer

In-Memory-Trojaner GoodPersonRAT tarnt sich als LetsVPN

Cybersicherheit, Cyber Security, VPN, Virtual Private Network

Sicherheitsexperten warnen vor gefälschten VPN-Installationsdateien. Die getarnte Schadsoftware GoodPersonRAT ermöglicht die vollständige Systemübernahme.

Sicherheitsanalysten des Unternehmens ThreatLocker haben eine bösartige Kampagne identifiziert, bei der manipulierte Windows-Installationsdateien eingesetzt werden. Diese Dateien geben sich als Installationspakete für Kuailian VPN, auch bekannt als LetsVPN, aus. LetsVPN wird häufig genutzt, um staatliche Internet-Zensuren zu umgehen. Die präparierte Datei trägt den Namen Kuailian_win-setup.86.msi und enthält neben der echten, digital signierten VPN-Anwendung ein Schadprogramm namens GoodPersonRAT. Um den Infektionsvorgang vor Anwendern zu verbergen, installiert das Paket zunächst die Schadsoftware im Hintergrund, bevor im Anschluss das legitime VPN-Programm gestartet wird. Dadurch wird den Betroffenen ein regulärer Installationsprozess vorgetäuscht.

Anzeige

Schadcode agiert ausschließlich im Arbeitsspeicher

Die Schadsoftware nutzt ein mehrstufiges Verfahren zur Infektion. Nach dem Ausführen der MSI-Datei agiert der Schadcode zunächst als Ladeprogramm, welches den eigentlichen Trojaner direkt in den Arbeitsspeicher des Systems lädt. Da die Nutzlast die Festplatte des Computers nicht direkt berührt, bleibt sie von dateibasierten Erkennungsmethoden herkömmlicher Sicherheitssoftware unbemerkt. Zur Kommunikation mit den Angreifern ist das Schadprogramm mit einer Liste von 40 Steuerungs-Servern ausgestattet. Die Namensgebung einiger dieser Domains leitet sich vom chinesischen Begriff Nishihaoren ab, was übersetzt „du bist ein guter Mensch“ bedeutet. Im offiziellen Bericht der Analysten heißt es zu diesem Mechanismus:

„Dieser Installer schleust einen verschlüsselten RAT (Remote Access Trojaner) ein und führt ihn aus, was Angreifern die vollständige Kontrolle über die Maschine eines Opfers und deren Daten gibt.“

ThreatLocker

Anzeige

Umfangreiche Funktionen zur Datenexfiltration und Systemsteuerung über VPN

Der Trojaner sichert sich über das Registrieren von Windows-Diensten sowie über geplante Aufgaben mit System-Rechten eine dauerhafte Präsenz auf dem infizierten Computer. Dies ermöglicht einen automatischen Start noch vor der Benutzeranmeldung. Die Steuerungsfunktionen des Trojaners umfassen folgende Aktivitäten:

  • Überwachung von Bildschirminhalten und Zwischenablagen
  • Protokollierung aller Tastatureingaben
  • Auslesen von Browser-Daten wie Cookies, Profilen und dem Verlauf
  • Diebstahl von Sitzungsdaten der Anwendung Telegram Desktop
  • Ausführen beliebiger Systembefehle auf der betroffenen Maschine

Um Erkennungsmechanismen zu erschweren, löscht das Schadprogramm bestehende Browser-Sitzungen und Cookies. Dadurch werden Anwender gezwungen, ihre Zugangsdaten erneut einzugeben, welche anschließend über die integrierte Tastaturprotokollierung abgegriffen werden. Das Deaktivieren von Sicherheitsfunktionen von Microsoft Defender gehört ebenfalls zum Repertoire des Trojaners. Genaue Daten über die genutzten Verbreitungswege liegen bislang nicht vor, Experten vermuten jedoch den Einsatz von manipulierter Suchmaschinenwerbung oder Phishing-Links.

(red)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.