Хакеры распространяют поддельные корпоративные VPN-клиенты для кражи учетных данных

Киберпреступники продолжают активно использовать социальную инженерию и поддельное программное обеспечение для взлома корпоративных сетей. Новая кампания показывает, насколько опасными могут быть фальшивые загрузки популярных инструментов удалённого доступа.

Исследователи безопасности обнаружили масштабную атаку, в которой злоумышленники распространяют поддельные установщики корпоративных VPN-клиентов. Эти программы маскируются под легитимное ПО известных поставщиков и предназначены для кражи учетных данных сотрудников компаний.

Атака ориентирована на пользователей, которые ищут официальные загрузки VPN-клиентов через поисковые системы. В результате они могут попасть на фальшивые сайты и установить вредоносное программное обеспечение.

Как работает новая схема атак

Киберпреступная кампания была обнаружена исследователями Microsoft. Они отслеживают группу злоумышленников под именем Storm-2561, которая распространяет троянизированные версии популярных VPN-клиентов.

Атака начинается с манипуляции поисковой выдачей — так называемого SEO poisoning. Злоумышленники создают сайты, оптимизированные под популярные запросы вроде:

• download Pulse Secure VPN
• enterprise VPN client download
• Pulse VPN client installer

Когда пользователь переходит по такой ссылке, он попадает на сайт, визуально практически не отличимый от официального портала разработчика.

На этих страницах размещается архив с установщиком VPN-клиента. Однако внутри находится вредоносная программа, которая маскируется под легитимное корпоративное приложение.

Какие VPN-решения используют злоумышленники

Исследователи обнаружили, что мошенники имитируют множество известных корпоративных продуктов. Среди них:

• Cisco VPN
• Fortinet VPN
• Ivanti Pulse Secure
• Check Point
• Sophos
• SonicWall
• WatchGuard

Это показывает, что атака ориентирована на широкий круг организаций и может затронуть тысячи компаний по всему миру.

Поддельный веб-сайт Fortinet
Источник: Microsoft

Что происходит после установки вредоносного VPN

После запуска установщика на компьютер жертвы устанавливается троянизированный VPN-клиент. Он копирует файлы в системные каталоги и запускает дополнительные компоненты вредоносного ПО.

В частности, исследователи обнаружили использование инфостилера Hyrax, который отвечает за кражу данных.

Основные действия вредоносной программы:

• отображает поддельное окно входа в VPN
• собирает введенные логин и пароль
• похищает конфигурацию VPN-подключений
• отправляет данные на сервер злоумышленников

Кроме того, программа извлекает файл конфигурации connectionsstore.dat, содержащий параметры VPN-подключения пользователя.

Почему жертвы часто не замечают компрометацию

Особенность этой атаки заключается в хорошо продуманной маскировке.

После того как вредоносная программа похищает учетные данные, пользователю отображается сообщение об ошибке установки. Затем жертву автоматически перенаправляют на настоящий сайт разработчика VPN-клиента.

В итоге пользователь:

1. думает, что произошёл обычный сбой установки
2. скачивает официальный клиент
3. успешно подключается к VPN

Из-за этого многие сотрудники даже не подозревают, что их учетные данные уже украдены.

Закрепление вредоносного ПО в системе

После заражения вредоносная программа сохраняет устойчивость в системе. Для этого используется механизм RunOnce в реестре Windows, позволяющий запускать компонент при перезагрузке компьютера.

Таким образом злоумышленники могут:

• сохранять доступ к системе
• продолжать сбор данных
• использовать украденные VPN-учетные записи для дальнейшего проникновения в корпоративную сеть.

Почему атаки на VPN становятся популярными

VPN-доступ часто является одним из главных способов подключения сотрудников к корпоративной инфраструктуре. Если злоумышленник получает такие учетные данные, он может:

• войти во внутреннюю сеть компании
• получить доступ к корпоративным сервисам
• проводить дальнейшие атаки
• внедрять ransomware.

В современных атаках всё чаще используются методы кражи идентификационных данных, а не прямые эксплойты программного обеспечения.

Как защититься от подобных атак

Эксперты по безопасности рекомендуют организациям внедрять дополнительные меры защиты.

Ключевые рекомендации:

• включить облачную защиту и блокировку угроз в антивирусных решениях
• использовать EDR-системы для мониторинга активности
• внедрить многофакторную аутентификацию (MFA)
• ограничить установку ПО на рабочих устройствах
• проверять источники загрузки корпоративных приложений.

Также важно обучать сотрудников распознавать фальшивые сайты и не скачивать программное обеспечение из неизвестных источников.

Выводы

Новая кампания по распространению поддельных VPN-клиентов демонстрирует, насколько эффективными могут быть атаки, основанные на подмене доверенных программ.

Использование SEO-манипуляций, поддельных сайтов и троянизированных установщиков позволяет злоумышленникам похищать учетные данные без эксплуатации уязвимостей.

Для бизнеса это серьёзная угроза: один украденный VPN-аккаунт может привести к компрометации всей корпоративной инфраструктуры. Поэтому организациям необходимо усиливать защиту идентификации пользователей, внедрять многофакторную аутентификацию и внимательно контролировать источники программного обеспечения.

Часто задаваемые вопросы

Что такое поддельный VPN-клиент?

Это вредоносная программа, которая маскируется под официальный установщик VPN-приложения. После запуска она собирает учетные данные пользователя и передает их злоумышленникам.

Какие данные крадут такие программы?

Обычно похищаются логины и пароли VPN, конфигурационные файлы подключения, а также другие данные, которые могут помочь злоумышленникам получить доступ к корпоративной сети.

Почему пользователи не замечают атаку?

После кражи данных вредоносный установщик показывает ошибку и перенаправляет пользователя на официальный сайт для загрузки настоящего клиента, создавая иллюзию обычного сбоя.

Какие компании могут быть затронуты?

Атака ориентирована на пользователей популярных корпоративных VPN-решений, включая Cisco, Fortinet, Ivanti и другие продукты для удаленного доступа.

Как снизить риск компрометации?

Необходимо скачивать VPN-клиенты только с официальных сайтов, использовать многофакторную аутентификацию, а также применять системы мониторинга и защиты конечных точек.

Редактор: AndreyEx