详细内容或原文请订阅后点击阅览
Storm-2561 引诱受害者访问欺骗性 VPN 站点以获取公司登录信息
与 Storm-2561 相关的攻击者使用 SEO 中毒的搜索结果来引诱用户访问伪造的 Ivanti、Cisco 和 Fortinet VPN 站点,从而窃取企业登录凭据。 2026 年 1 月中旬,Microsoft Defender 专家发现了一场由 Storm-2561 引发的凭据盗窃活动。威胁行为者正在传播冒充 Ivanti、Cisco 和 Fortinet 软件的虚假企业 VPN 客户端。通过毒害搜索引擎 [...]
来源:Security Affairs _恶意软件Storm-2561 引诱受害者访问欺骗性 VPN 站点以获取公司登录信息
与 Storm-2561 相关的攻击者使用 SEO 中毒的搜索结果来引诱用户访问伪造的 Ivanti、Cisco 和 Fortinet VPN 站点,从而窃取企业登录凭据。
2026 年 1 月中旬,Microsoft Defender 专家发现了一场由 Storm-2561 发起的凭据盗窃活动。 威胁行为者正在传播冒充 Ivanti、Cisco 和 Fortinet 软件的虚假企业 VPN 客户端。通过毒害“Pulse Secure 客户端”或“Pulse VPN 下载”等查询的搜索引擎结果,攻击者将用户重定向到令人信服的欺骗性供应商网站。
搜索合法软件的用户会被重定向到 GitHub 上托管的恶意 ZIP 存档,其中包含冒充受信任 VPN 工具并窃取登录凭据的木马安装程序。该组织自 2025 年 5 月开始活跃,经常模仿知名软件供应商以获取信任并提高感染率。此活动中的恶意软件使用合法证书进行了数字签名,后来被撤销。
“在此活动中,搜索合法 VPN 软件的用户会从搜索结果重定向到欺骗性网站,这些网站非常模仿受信任的 VPN 产品,但却部署了旨在收集凭据和 VPN 数据的恶意软件。”阅读微软发布的报告。 “当用户点击下载该软件时,他们会被重定向到一个恶意的 GitHub 存储库(不再可用),该存储库托管着伪造的 VPN 客户端以供直接下载。”
下载该软件的受害者会收到托管在 GitHub 上的 ZIP 文件,其中包含模仿合法 VPN 客户端的木马 MSI。执行时,安装程序会将文件放入类似于真实 Pulse Secure 安装路径的目录中,并旁加载恶意 DLL。一个加载程序会部署 Hyrax infostealer,该程序会收集 VPN 凭据并将其泄露到攻击者控制的服务器。
在 Twitter 上关注我:@securityaffairs 以及 Facebook 和 Mastodon
皮尔路易吉·帕格尼尼
(安全事务 - 黑客攻击,Storm-2561)