Aktér hrozby sledovaný pod označením Storm-2561 šíří falešné podnikové VPN klienty od společností Ivanti, Cisco a Fortinet s cílem odcizit VPN přihlašovací údaje nic netušícím uživatelům.
Útočníci manipulují s výsledky vyhledávání (tzv. SEO poisoning) pro běžné dotazy jako „Pulse VPN download“ nebo „Pulse Secure client“, aby přesměrovali oběti na podvodné weby napodobující stránky skutečných dodavatelů VPN řešení.
Po prozkoumání útoku a infrastruktury příkazů a řízení (C2) výzkumníci společnosti Microsoft zjistili, že stejná kampaň využívala domény spojené se společnostmi Sophos, Sonicwall, Ivanti, Check Point, Cisco, WatchGuard a dalšími, přičemž cílila na uživatele různých podnikových VPN produktů.
V rámci sledovaného útoku Microsoft zjistil, že falešné stránky odkazují na repozitář GitHub (nyní již odstraněný), který hostoval ZIP archiv obsahující falešný VPN instalátor ve formátu MSI.
Po spuštění tento soubor nainstaluje „Pulse.exe“ do složky %CommonFiles%Pulse Secure a zároveň uloží loader (dwmapi.dll) a variantu infostealeru Hyrax (inspector.dll).
Falešný VPN klient zobrazí věrohodně vypadající přihlašovací rozhraní, které vyzve oběti k zadání přihlašovacích údajů – ty jsou následně zachyceny a odeslány na infrastrukturu útočníka.
Malware, digitálně podepsaný platným, avšak nyní odvolaným certifikátem společnosti Taiyuan Lihua Near Information Technology Co., Ltd., navíc krade konfigurační data VPN uložená v souboru „connectionsstore.dat“ z adresáře legitimního programu.
Aby falešný VPN klient nevzbuzoval podezření, zobrazí po odcizení přihlašovacích údajů chybovou zprávu o instalaci a přesměruje uživatele na skutečný web dodavatele, kde si mohou stáhnout legitimního VPN klienta.
Infostealer malware mezitím na pozadí zajišťuje perzistenci pro Pulse.exe prostřednictvím klíče registru Windows RunOnce, čímž zaručuje přežití infekce i po restartu systému.
Výzkumníci doporučují správcům systémů povolit cloudovou ochranu v programu Defender, spustit EDR v blokovacím režimu, vynutit vícefaktorové ověřování a používat prohlížeče s povolenou funkcí SmartScreen.
Zdroj: bleepingcomputer.com
Zdroj: IT SECURITY NETWORK NEWS
