L’explosion de la demande en outils de sécurisation de la part de télétravailleurs et d’étudiants a suscité une nouvelle tendance chez les cybercriminels : les faux sites VPN qui distribuent des malwares. D’après les recherches de Zscaler, une nouvelle campagne utilise la forte demande en VPN pour tromper les utilisateurs et les amener à télécharger et à installer des logiciels malveillants, en se faisant passer pour un client VPN légitimes. Le laboratoire de Zscaler, ThreatLabZ, annonce surveiller plusieurs domaines nouvellement enregistrés.

Ces sites web prétendent offrir des clients VPN gratuits, mais lorsque l’utilisateur télécharge et exécute le client VPN, celui-ci s’exécute en arrière-plan et installe un Infostealer (un troyen permettant de collecter des informations confidentielles : identifiants bancaires, identifiants des réseaux sociaux, clients de messagerie instantanée, certificats de sécurité…) et sert d’autres logiciels malveillants (une porte dérobée d’accès à distance ou un troyen bancaire).

Les experts de ThreatLabZ ont analysé deux faux sites : Nord VPN et VPN4Test, ainsi que les logiciels malveillants qu’ils diffusent et leurs capacités de vol de données. Dans le cas de Nord VPN, lorsqu’un utilisateur essaie d’installer un client VPN à partir de ce site, il télécharge la charge utile cryptée à partir du web, la décrypte et la charge en mémoire pour l’exécution. Ainsi, l’utilisateur finit par installer le logiciel malveillant Grand Stealer, qui a plusieurs capacités, dont le vol de diverses références utilisateur et de portefeuilles de devises cryptographiques.

image001

Quant à VPN4Test, l’utilisateur qui croit télécharger un client VPN, télécharge en fait les données de configuration codées et la charge utile du logiciel malveillant Azorult infostealer et l’exécute. Le fichier téléchargé (VPN4Test-Setup.exe) est un exécutable construit par MSIL. Il s’agit d’un module de chargement qui télécharge une configuration, sur la base de laquelle il télécharge la charge utile et l’exécute sur le système.

image002

À lire aussi Cloudflare présente Warp, son nouveau service VPN