详细内容或原文请订阅后点击阅览
凭证窃取人员欺骗来自 Cisco、Fortinet 等的 VPN 客户端
然后他们将受害者发送到合法的 VPN 下载以隐藏他们的踪迹据微软称,一群被追踪为 Storm-2561 的网络犯罪分子正在使用来自 CheckPoint、Cisco、Fortinet、Ivanti 和其他供应商的虚假企业 VPN 客户端来窃取用户的凭据。
来源:The Register _恶意软件据微软称,一群被追踪为 Storm-2561 的网络犯罪分子正在使用来自 CheckPoint、Cisco、Fortinet、Ivanti 和其他供应商的虚假企业 VPN 客户端来窃取用户的凭据。
Storm-2561 是一个新的犯罪团伙(“Storm”后跟数字是微软跟踪仍在开发中的组织的方式),自 2025 年 5 月以来一直存在,通常使用 SEO 定位和供应商模拟来分发恶意软件。这场从一月中旬开始的活动也不例外。
攻击者通过操纵搜索结果获得对受害者的初步访问权限,并将伪装成企业 VPN 更新的恶意网站推送到列表顶部。因此,当用户搜索“Pulse VPN 下载”或“Pulse Secure 客户端”等 VPN 客户端时,最上面的结果会指向模仿真实供应商页面的欺骗网站。除了上面列出的 VPN 供应商之外,这些产品还包括 SonicWall、Sophos 和 WatchGuard 的产品。
单击该链接会将用户重定向到恶意 GitHub 存储库,该存储库托管伪装成 Microsoft Windows Installer (MSI) 文件的虚假 VPN 客户端。
“微软已经观察到各种 VPN 软件品牌的欺骗行为,并观察到以下两个域的 GitHub 链接:vpn-fortinet[.]com 和 ivanti-vpn[.]org,”雷德蒙德的威胁情报团队在周四的博客中表示。 GitHub 存储库现已被删除。 (将博客读到底,了解一长串妥协指标。)
安装程序在安装过程中旁加载恶意动态链接库 (DLL) 文件、dwmapi.dll 和spector.dll,并且虚假 VPN 软件会提示用户输入其凭据。这会捕获用户名和密码,然后将它们发送到攻击者控制的命令和控制服务器,同时看起来是合法的客户端应用程序。
MSI 文件和恶意 DLL 是使用太原利华近信息技术有限公司颁发的有效(现已撤销)数字证书进行签名的。