- Автор темы
- #1
Эксперты предупреждают, что хак-группа Storm-2561 подделывает сайты Ivanti, Cisco и Fortinet, чтобы распространять инфостилер под видом VPN-клиентов.
Как сообщили специалисты компании Microsoft, злоумышленники продвигают фальшивые сайты производителей корпоративных VPN, используя тактику отравления SEO (SEO poisoning), то есть манипулируют поисковой выдачей, чтобы по запросам вроде «Pulse VPN download» или «Pulse Secure client» пользователи попадали на вредоносные ресурсы. При этом фальшивые страницы визуально копируют сайты легитимных вендоров.
Изучив управляющую инфраструктуру атакующих, исследователи обнаружили домены, имитирующие ресурсы Sophos, Sonicwall, Ivanti, Check Point, Cisco, WatchGuard и других производителей. То есть хакеры нацелены на пользователей ряда корпоративных VPN-решений.
Фальшивые сайты вели на репозиторий на GitHub (в настоящее время уже удален), где размещался ZIP-архив с поддельным MSI-установщиком VPN-клиента. При запуске этот установщик помещает файл Pulse.exe в каталог %CommonFiles%\Pulse Secure, а также развертывает в системе жертвы загрузчик (dwmapi.dll) и вариант инфостилера Hyrax (inspector.dll).
Поддельный VPN-клиент демонстрирует пострадавшему правдоподобный интерфейс для входа и предлагает ввести учетные данные. Все данные, что вводит пользователь, перехватываются и отправляются на серверы злоумышленников. Кроме того, малварь похищает конфигурационные данные VPN из файла connectionsstore.dat, который принадлежит легитимному клиенту.
Отмечается, что вредонос был подписан настоящим (но уже отозванным) сертификатом компании Taiyuan Lihua Near Information Technology.
Чтобы не вызвать подозрений, после кражи учетных данных фальшивый клиент сообщает об ошибке установки и перенаправляет пользователя на настоящий сайт вендора, чтобы тот мог загрузить реальный VPN-клиент.
Как поясняют в Microsoft, если после атаки пользователь успешно установит и будет использовать настоящий VPN, он, скорее всего, спишет первую неудачу на технические проблемы и не заподозрит компрометацию.
В Microsoft рекомендуют системным администраторам включить облачную защиту в Defender, запустить EDR в режиме блокировки, использовать многофакторную аутентификацию, а также браузеры с поддержкой SmartScreen.
Как сообщили специалисты компании Microsoft, злоумышленники продвигают фальшивые сайты производителей корпоративных VPN, используя тактику отравления SEO (SEO poisoning), то есть манипулируют поисковой выдачей, чтобы по запросам вроде «Pulse VPN download» или «Pulse Secure client» пользователи попадали на вредоносные ресурсы. При этом фальшивые страницы визуально копируют сайты легитимных вендоров.
Изучив управляющую инфраструктуру атакующих, исследователи обнаружили домены, имитирующие ресурсы Sophos, Sonicwall, Ivanti, Check Point, Cisco, WatchGuard и других производителей. То есть хакеры нацелены на пользователей ряда корпоративных VPN-решений.
Фальшивые сайты вели на репозиторий на GitHub (в настоящее время уже удален), где размещался ZIP-архив с поддельным MSI-установщиком VPN-клиента. При запуске этот установщик помещает файл Pulse.exe в каталог %CommonFiles%\Pulse Secure, а также развертывает в системе жертвы загрузчик (dwmapi.dll) и вариант инфостилера Hyrax (inspector.dll).
Поддельный VPN-клиент демонстрирует пострадавшему правдоподобный интерфейс для входа и предлагает ввести учетные данные. Все данные, что вводит пользователь, перехватываются и отправляются на серверы злоумышленников. Кроме того, малварь похищает конфигурационные данные VPN из файла connectionsstore.dat, который принадлежит легитимному клиенту.
Отмечается, что вредонос был подписан настоящим (но уже отозванным) сертификатом компании Taiyuan Lihua Near Information Technology.
Чтобы не вызвать подозрений, после кражи учетных данных фальшивый клиент сообщает об ошибке установки и перенаправляет пользователя на настоящий сайт вендора, чтобы тот мог загрузить реальный VPN-клиент.
Как поясняют в Microsoft, если после атаки пользователь успешно установит и будет использовать настоящий VPN, он, скорее всего, спишет первую неудачу на технические проблемы и не заподозрит компрометацию.
В Microsoft рекомендуют системным администраторам включить облачную защиту в Defender, запустить EDR в режиме блокировки, использовать многофакторную аутентификацию, а также браузеры с поддержкой SmartScreen.