Betrüger nutzen die Marke ExpressVPN, um Menschen dazu zu verleiten, gefälschte Installationsprogramme herunterzuladen, die Redline-Malware enthalten, ein weit verbreitetes Programm zum Diebstahl von Informationen.
Benutzer infizieren ihre Geräte mit Malware, indem sie sie starten und denken, sie würden ExpressVPN installieren und am Ende persönliche Daten an Cyberkriminelle verlieren.
Die Kampagne wurde von Cyble Research & Intelligence Labs entdeckt.
Typosquatting ist eine Methode zur Registrierung von Domainnamen, die Markennamen ähneln, meist durch die Verwendung zusätzlicher Zeichen oder das Ersetzen von Buchstaben.
Die sechs Beispiele, die Cyble während seiner Untersuchung dieses Falles entdeckte, sind:
- express-vpns[.]cloud
- Express-VPNs[.]Spaß
- Express-VPNs[.]biz
- Express-VPNs[.]online
- express-vpns[.]pro
- express-vpns[.]xyz
Benutzer gelangen über Phishing-E-Mails, schädliche Werbung oder Beiträge in sozialen Netzwerken und Foren auf diese Websites.
Das Erscheinungsbild der Seiten kommt der realen Seite sehr nahe ExpressVPN, und bösartige Websites bieten sogar eine dreimonatige kostenlose Testversion von „ExpressVPN“ an, die der echte Entwickler im Rahmen der Black Friday-Aktion beworben hat. Bedrohungsakteure achten darauf, gültige SSL-Zertifikate zu verwenden, um ihre Betrugsseiten für andere vertrauenswürdig erscheinen zu lassen.
Wenn Sie auf die Schaltfläche klicken, um das exklusive Angebot zu erhalten, wird ein Download der ZIP-Datei gestartet. Die Datei „Setup.zip“ enthält eine künstlich große ausführbare Datei (setup.exe), um eine Überprüfung durch Antiviren-Tools zu vermeiden.
Beim Ausführen der ausführbaren Datei wird Redline in das digital signierte Compilerprogramm eingefügt, sodass es als vertrauenswürdiger Prozess direkt aus dem Speicher ausgeführt wird, wodurch verhindert wird, dass Sicherheitstools Alarm schlagen.
Redline kann Anmeldeinformationen, Autofill-Daten, Cookies und Kreditkartendaten stehlen, die in den Browsern Google Chrome und Mozilla Firefox gespeichert sind. Es kann auch Erweiterungen von Kryptowährungsbörsen und -Wallets, Cold-Wallet-Konten, Discord, Steam und andere angreifen.
Redline ist ein Informationsdiebstahl-MaaS (Malware als Abonnement), das gegen eine monatliche Abonnementgebühr an Cyberkriminelle im Dark Web verkauft wird und derzeit eine der am weitesten verbreiteten Malware ihrer Art ist.
Um das Risiko einer Redline-Infektion zu minimieren, stellen Sie sicher, dass Sie Software immer von den offiziellen Websites der Hersteller herunterladen und vermeiden Sie das Klicken auf Links, die per E-Mail, SMS usw. gesendet werden. Überprüfen Sie außerdem heruntergeladene Installationsprogramme mit Ihrer Antivirensoftware, bevor Sie sie ausführen, und stellen Sie sicher, dass das Dateiformat mit dem Anwendungstyp übereinstimmt.
