Eine Malware-Kampagne, identifiziert von MalwareBytes, machte sich zuletzt den Ruf von Proton VPN zunutze, um Windows-Nutzende mit der Infostealer-Malware NWHStealer zu infizieren. Dabei spielen spezifische gefälschte Domains eine zentrale Rolle.
Gefälschte Websites als Hauptvektor
Cyberkriminelle nutzen aktuell die Beliebtheit von VPN-Systemen im Allgemeinen und das Vertrauen in Proton VPN im Besonderen aus, um Trojaner-Installationsprogramme über ZIP-Dateien zu verteilen. Die Angreifer erstellen täuschend echte Nachbildungen der offiziellen Proton VPN-Seiten, die jedoch keinerlei Verbindung zum echten Anbieter haben. Als primäre Adressen wurden dabei die Domains vpn-proton-setup[dot]com und get-proton-vpn[dot]com identifiziert, die inzwischen inhaltsleer erscheinen.
Bitte denken Sie sich diese Vorgänge als Modell, die auch bei anderen, beliebten Anwendungen genutzt werden könnten.
Besonders besorgniserregend ist die Verbreitung über YouTube. Kompromittierte Kanäle posten Links zu diesen gefälschten Seiten, teilweise ergänzt durch KI-generierte Videos, die die Installation vorführen sollen. Diese Kombination aus visueller Glaubwürdigkeit und bekannten Plattformen senkt die Wachsamkeit potenzieller Opfer erheblich. Die Nutzer wrden von diesen Videos direkt auf die betrügerischen Domains geleitet, wo sie glaubten, das offizielle VPN-Tool herunterzuladen.
Ziel der Kampagne
NWHStealer ist darauf ausgelegt, sensible Daten zu ernten, einschließlich im Browser gespeicherter Anmeldedaten, Autofill-Daten und Informationen zu Kryptowährungs-Wallets. Die Malware kann mehr als 25 wallet-bezogene Verzeichnisse und Registrierungsschlüssel targetieren. Gestohlene Browserdaten, gespeicherte Passwörter und Kryptowährungs-Wallet-Informationen können zu Account-Übernahmen, finanziellen Verlusten und weiterer Kompromittierung führen.
Was Sie tun können
- Software ausschließlich von offiziellen Websites herunterladen.
Downloads von GitHub, SourceForge oder File-Sharing-Plattformen sollten nur erfolgen, wenn die Quelle vertrauenswürdig ist. Prüfen Sie vor dem Ausführen von Dateien Dateisignaturen und Herausgeberinformationen. - Prüfen Sie die angebotene URL. Recherchieren Sie im Netz die Herstellerdomain. Nutzen Sie dazu auch renommierte Portale. Besonders wichtig ist die Vorsicht bei Links in YouTube-Beschreibungen, selbst wenn diese legitim erscheinen.