Sicherheitsforscher haben einen beliebten VPN-Dienst mit einem großen Unternehmen in Verbindung gebracht, das möglicherweise Jahre damit verbracht hat, die Computer von Menschen ohne deren Wissen in private Proxy-Server umzuwandeln.
DerErmittlungen eingeleitetmit einer gefälschten Version der beliebten 7-Zip-Software. Doch als die Forscher tiefer gruben, entdeckten sie etwas viel Größeres. Sie fanden Hunderte verbundener Websites, gemeinsam genutzter Systeme und Malware-Beispiele, die offenbar alle zum selben Vorgang gehörten.
Forscher verfolgen die Kampagne nun unter dem Namen Lurking Lizard. Sie gehen davon aus, dass die Gruppe seit mindestens 2022 aktiv ist. Ihren Erkenntnissen zufolge ist WireVPN die neueste öffentliche Marke mit einer Verbindung zu dem Betrieb.
Das Team sagt, dass die Gruppe nahezu jeden Teil des Plans kontrolliert. Es verbreitet gefälschte Software, infiziert Geräte und verkauft dann den Zugang zu diesen infizierten Internetverbindungen über ein privates Proxy-Netzwerk.
Forscher bringen gefälschte Software-Kampagne mit WireVPN in Verbindung
Die Untersuchung begann, nachdem Forscher ein gefälschtes Installationsprogramm untersucht hatten, das über die Domäne 7zip[.]com verbreitet wurde. Die Adresse sah fast identisch mit der echten 7-Zip-Website aus. Das ist der Typosquatting-Trick. Es verleitet Menschen dazu, Software von der falschen Website herunterzuladen.
Gefälschte Websites sind ein globales Problem. Vor nicht allzu langer Zeit,Operation Alice wurde eingestellt373.000 gefälschte Dark-Net-Seiten im Rahmen eines koordinierten internationalen Vorgehens der Polizei.
Anstatt eine Malware-Kampagne zu finden, entdeckten die Forscher ein viel größeres Netzwerk. Ihre Untersuchung verband mehr als 230 Domains mithilfe von DNS-Einträgen, WHOIS-Informationen, gemeinsam genutzten APIs, Malware-Beispielen und gängigen Backend-Systemen. Diese Links deuteten auf einen einzelnen Betrieb hin, der über Jahre hinweg kontinuierlich gewachsen ist.
Forscher entdeckten auch einen wichtigen Hinweis, der darin verborgen warmehrere Malware-Beispiele. Die Schadprogramme enthielten eine fest codierte IPLogger-Adresse. Diese einzelne Information half den Ermittlern, mehrere ältere Kampagnen miteinander zu verbinden.
Den Forschern zufolge tauchte dieselbe Infrastruktur in gefälschten TikTok-Downloadern, gefälschten YouTube-Downloadern, früheren VPN-Kampagnen und dem aktuellen WireVPN-Betrieb auf. Sie glauben, dass diese Ergebnisse fast vier Jahre Aktivität in einer Gruppe miteinander verbinden.
Den Forschern fiel auch ein weiteres besorgniserregendes Muster auf. Die Leute hinter der Operation erstellten Websites, die wie bekannte Proxy-Dienste aussahen. Einige dieser gefälschten Websites kopierten Marken wie Smartproxy, IPIDEA, IPRoyal und 911Proxy. Die Gruppe betrieb auch gefälschte Bewertungswebsites, die offenbar darauf abzielten, Besucher zu diesen Diensten zu drängen
Die Windows-Version zeigt Anzeichen einer Proxy-Aktivität für Privatanwender
Forscher sagen, WireVPN habe sich während des Tests nicht wie ein normales VPN verhalten. Ein typisches VPN erstellt einen sicheren Tunnel zwischen dem Gerät eines Benutzers und einem VPN-Server. WireVPN verhielt sich anders. Anstatt mit einem VPN-Server zu kommunizieren, kontaktierte die Windows-Software viele von WireVPN kontrollierte Domänen sowie mehrere unabhängige Systeme.
Den Forschern zufolge deutet das Verkehrsmuster darauf hin, dass betroffene Computer zu Ausgangspunkten für den Internetverkehr anderer Personen werden könnten. Vereinfacht ausgedrückt können Kriminelle die Internetverbindung einer Person ohne deren Zustimmung vermieten. Die Windows-Software führte auch mehrere Aktionen aus, die häufig bei Malware auftreten.
Die Forscher fanden heraus, dass Dateien mit den Namen „wire.exe“ und „upwire.exe“ in den Windows-Systemordnern installiert wurden. Außerdem wurden mit netsh Ausnahmen für die Windows-Firewall erstellt, die Windows-Registrierungseinstellungen so geändert, dass sie nach einem Neustart aktiv bleiben, Systeminformationen gesammelt und überprüft, ob Sicherheitsforscher versuchten, diese zu untersuchen.
Das Team stellte fest, dass diese Methoden denen der früheren gefälschten 7-Zip-Kampagne sehr ähneln. Diese frühere Malware installierte nahezu identische Dateien mit den Namen hero.exe und uphero.exe, was darauf hindeutet, dass beide Kampagnen möglicherweise von denselben Entwicklern stammen.
Es ist für Windows, macOS, Android und iOS verfügbar. Die Windows-Version verfügt über ein gültiges Code-Signatur-Zertifikat, ausgestellt von WEILAI NETWORK TECHNOLOGY CO., LIMITED. Forscher fanden außerdem heraus, dass derselbe Entwickler eine iPhone-Version veröffentlicht hatte. Mittlerweile erscheint die Android-Version unter dem Verlagsnamen WIRE LTD.
Google Play listet derzeit mehr als eine Million Downloads und über 34.000 Nutzerbewertungen. Die Forscher erklärten jedoch, dass sie diese Zahlen nicht unabhängig überprüft und die Android- oder iPhone-Versionen im Rahmen dieser Untersuchung nicht analysiert hätten.
Es gibt Hinweise auf eine größere Operation
Forscher gehen davon aus, dass Lurking Lizard weit mehr bewirkt, als nur Malware zu verbreiten. Ihren Erkenntnissen zufolge scheint die Gruppe das gesamte Residential-Proxy-Geschäft zu kontrollieren. Es infiziert zuerst Geräte. Dann nutzt es diese Systeme als Proxyserver, bevor es den Zugang an Kunden verkauft.
Die Untersuchung deckte auch WHOIS-Registrierungsdatensätze auf, die mit mehreren Domains verknüpft waren. Einige dieser Aufzeichnungen enthielten verschiedene Versionen des Namens „Cheng Li“ sowie Kontaktdaten, die auf Wuhan, China, verwiesen. Die Forscher betonten jedoch, dass Kriminelle leicht Domain-Registrierungsdatensätze fälschen können. Sie sagten, diese Details allein beweisen nicht, wer dafür verantwortlich sei.
Stattdessen kamen sie zu ihrer Einschätzung, nachdem sie die Registrierungsdatensätze mit der gemeinsamen Infrastruktur, Malware-Ähnlichkeiten, Domänenverbindungen und technischen Beweisen kombiniert hatten, die während der Untersuchung gesammelt wurden. Basierend auf all diesen Erkenntnissen gehen die Forscher davon aus, dass die Operation wahrscheinlich von einem chinesischen Bedrohungsakteur durchgeführt wird.
Die Forscher gaben auch einfache Ratschläge für die Sicherheit. Sie empfehlen, VPNs, Dienstprogramme und andere Software nur von offiziellen Websites herunterzuladen. Benutzer sollten außerdem Website-Adressen sorgfältig überprüfen, bevor sie etwas installieren, da Angreifer häufig Domains registrieren, die legitimen Domains sehr ähneln.
Den Forschern zufolge kann ein einziger falscher Download Angreifern die Kontrolle über ein Gerät verschaffen. Dieses Gerät kann dann ohne Wissen des Besitzers Teil eines viel größeren Netzwerks werden. All dies sind die Empfehlungen, die unsere Cybersicherheitsexperten von PrivacySavvy jeden Tag im Jahr aussprechen.
Die Ergebnisse von WireVPN sind auch eine weitere Erinnerung daran, dass Software, die Privatsphäre verspricht, nicht immer vertrauenswürdig ist. Auch Sicherheitstools verdienen vor der Installation eine sorgfältige Prüfung. Das Herunterladen von Programmen aus offiziellen Quellen ist nach wie vor eine der einfachsten Möglichkeiten, nicht Teil versteckter Cyberkriminalitätsoperationen zu werden.
