Uuden aikakauden tunnistetietojen varkaustrendi iskee työntekijöihin, jotka etsivät verkosta yrityksen VPN-työkaluja. Huonot toimijat ohjaavat heidät väärennetyille sivustoille ja huijaavat heidät asentamaan haittaohjelmia sopivan asiakastyökalun sijaan.
Microsoft Threat Intelligenceseurannut tätä suuntaustaStorm-2561-nimiseen ryhmään, joka on toiminut toukokuusta 2025 lähtien. Heidän asiantuntemuksensa kattaa hakukoneiden manipuloimisen ja toisena henkilönä esiintymisen.
Hakkerit manipuloivat hakutuloksia levittääkseen haittaohjelmia
Storm-2561 toimii pelien hakukonealgoritmeilla. Käyttäjät, jotka etsivät termejä, kuten "Pulse VPN -lataus" tai "Pulse Secure client", löytävät haitallisia verkkosivustoja tulosten kärjessä. Microsoft havaitsi ryhmän huijaavan useita VPN-brändejä, mukaan lukien Fortinet, Ivanti ja Sophos.
Väärennetyt sivustot näyttävät erittäin aidoilta. Ne kopioivat laillisten VPN-palveluntarjoajien brändejä ja asettelua. Kun vierailijat napsauttavat latauspainiketta, sivustot ohjaavat heidät GitHub-tietovarastoon, joka isännöi haitallisia ZIP-tiedostoja. Microsoft tunnisti tässä kampanjassa kaksi ensisijaista verkkotunnusta: ivanti-vpn[.]org ja vpn-fortinet[.]com.
ZIP-tiedosto sisältää MSI-asennusohjelman, joka näyttää olevan aito VPN-asiakasohjelmisto. Asentajan digitaalisessa allekirjoituksessa lukee "Taiyuan Lihua Near Information Technology Co., Ltd." Tämä allekirjoitus auttaa haittaohjelmia ohittamaan Windowsin suojausvaroitukset ja saa käyttäjät luottamaan asennukseen entistä enemmän.
Asennuksen jälkeen se luo hakemistorakenteen, joka peilaa syvästi autenttista Pulse Secure -asetusta osoitteessa %CommonFiles%\Pulse Secure. Yhdessä pääsovelluksen kanssa asennusohjelma ottaa käyttöön kaksi hämärää DLL-tiedostoa: inspector.dll ja dwmapi.dll.
Dwmapi.dll toimii kuin latausohjelma. Se käynnistää shellkoodin, joka aktivoi inspector.dll:n, joka on muunnos Hyrax-infostealerista. Tämä haittaohjelmaversio kohdistuu erityisesti VPN-tunnistetietoihin ja määritystietoihin.
Kuinka väärennetty VPN-asiakas varastaa tietoja
Haitallisen sovelluksen mukana tulee käyttäjän kotisivu, joka näyttää täydellisesti laillisen VPN:n asiakasohjelmistolta. Käyttäjille se on tavallinen kirjautumissivu. He syöttävät valtuustietonsa odottaen yhdistävänsä yrityksen verkkoon.
Sen sijaan sovellus tallentaa kaiken, mitä he kirjoittavat. Hyrax-infostealer kaivaa tallennettuja VPN-määritystietoja osoitteesta C:\ProgramData\Pulse Secure\ConnectionStore\connectionstore.dat. Myöhemmin se lähettää kaapatut tunnistetiedot sekä määritystiedostot hyökkääjien hallinnoimille palvelimille numeroon 194.76.226[.]93:8080.
Valtuustietojen keräämisen jälkeen väärennetty asiakas ponnahtaa esiin vakuuttavan virheilmoituksen, jonka mukaan asennus epäonnistui. Sovellus kehottaa sitten lataamaan laillisen VPN-asiakkaan virallisista lähteistä. Joissakin tapauksissa se jopa avaa selaimen todelliselle VPN-verkkosivustolle.
Tämä älykäs juoni toimii, koska käyttäjät olettavat, että ongelma oli tekninen, ei haitallinen, mutta vaikka he asentaisivatkin laillisen ohjelmiston, he voivat silti olla vaarassa, josVPN:llä itsessään on korjaamattomia puutteita, joita hakkerit käyttävät hyväkseenensisijaisena sisääntulopisteenä kiristysohjelmille.
Tämä uudelleenohjausstrategia on erittäin näppärä. Käyttäjät, jotka asentavat ja käyttävät laillisen ohjelmiston jälkeenpäin onnistuneesti, eivät näe merkkejä kompromisseista. Microsoft Defender Experts huomautti, että käyttäjät "todennäköisesti pitävät alkuperäisen asennuksen epäonnistumisen johtuvan teknisistä ongelmista, eivät haittaohjelmista".
Haittaohjelma varmistaa myös pysyvyyden Windows RunOnce -rekisteriavaimen avulla. Tämä varmistaa, että Pulse.exe toimii uudelleen, kun laite käynnistyy uudelleen.
Mitä käyttäjät voivat tehdä pysyäkseen suojattuna
Microsoft suosittelee useita suojatoimenpiteitä. Organisaatioiden tulee ottaa käyttöön pilven kautta toimitettu suojaus Microsoft Defender Antivirus -ohjelmassa. Tämä ominaisuus estää nopeasti kehittyvät hyökkääjätyökalut koneoppimisen avulla.
Seuraavan sukupolven Endpoint Detection and Response (EDR) tarjoaa entistä paremman suojan, koska tämän ominaisuuden avulla Microsoft Defender for Endpoint voi estää ei-toivotut tiedostot tai ohjelmat, vaikka virustentorjuntaohjelma ei olisi pyytänyt niitä.
Microsoft Defenderin Endpointin verkkosuojauksen ja verkkosuojauksen lisätyt suojakerrokset suojaavat työntekijöitä Internetiä käyttäessään. Rohkaisemalla työntekijöitäsi käyttämään selaimia, joissa on SmartScreen, tämä ominaisuus voi auttaa estämään käyttäjiä pääsemästä mahdollisesti haitalliseen verkkosisältöön.
Monitekijätodennus on edelleen kriittinen. Organisaatioiden tulee pakottaa MFA kaikille tileille ja vaatia sitä kaikilta laitteilta ja paikoista. Yritysten tulee myös muistuttaa työntekijöitä, etteivät he koskaan säilytä työpaikan tunnistetietoja salasanavarastoissa tai henkilötiedoilla suojatuissa selaimissa.
Microsoftin asiakkaat voivat estää tämän uhan käyttämällä hyökkäyspinnan vähentämissääntöjä. Sääntö "Estä suoritettavien tiedostojen suorittaminen, elleivät ne täytä yleisyyden, iän tai luotetun luettelon kriteeriä" kohdistuu erityisesti tämäntyyppisiin hyökkäyksiin.
Storm-2561:n kampanja korostaa, että kyberrikolliset keksivät jatkuvasti uusia tapoja käyttää työkaluja, joihin luotamme (kuten hakukoneet, digitaaliset allekirjoitukset ja tuotenimet). Siksi meidän on oltava vastuullisempia tiedessään, mistä lataamme enemmän kuin koskaan ennen.