详细内容或原文请订阅后点击阅览
搜索 VPN 可能意味着交出您的工作登录详细信息
看似合法的 VPN 下载可能是一个陷阱,因为 SEO 中毒被用来窃取公司登录信息。
来源:Malwarebytes Labs 博客本博客讲述的是尝试做“正确的事”如何会直接导致您陷入陷阱。搜索 VPN 的人们最终下载了窃取凭据的恶意软件。
从受害者的角度来看,他们的信任在每一步都被利用:对搜索引擎、熟悉的徽标、数字签名的信任,以及如果事情“最终有效”,它们一定是安全的假设。
假设您正在寻找一个 VPN 客户端来连接到您雇主的网络。您使用您最喜欢的搜索引擎,在搜索结果的顶部,您可以准确地看到您正在寻找的内容:看起来像是属于行业中知名品牌的列表。他们有正确的标志、正确的产品名称和听起来合法的描述。
但是,在 Microsoft 描述的案例中,您看到的是受 SEO 中毒影响的搜索结果。搜索引擎优化 (SEO) 中毒归根结底是让网页在相关搜索结果中排名靠前,而无需购买广告或遵循合法但乏味的 SEO 最佳实践。相反,网络犯罪分子使用欺骗性或完全非法的手段将他们的页面推到顶部。
在欺骗性(甚至可能是克隆的)VPN 页面上,一切看起来都很熟悉:供应商品牌、产品名称以及有关安全远程访问的简短介绍。最重要的是,有一个突出的下载按钮。你点击了一下,期待来自信誉良好的供应商的安装程序,但该网站悄悄地将你重定向到 GitHub 版本下载,并提供一个类似于 VPN-CLIENT.zip 的 ZIP 文件。
GitHub 是恶意软件作者最喜欢的分发渠道,因为它受到广泛信任。在这次活动中,犯罪分子甚至用合法证书签署了他们的文件,但该证书现已被撤销。下载的 ZIP 文件包含一个 Microsoft 软件安装程序 (.msi) 文件,该文件引导受害者完成通常的安装、下一步、下一步、完成例程,同时在安装过程中旁加载恶意动态链接库 (DLL) 文件。