Киберпреступники продолжают активно использовать социальную инженерию и поддельное программное обеспечение для взлома корпоративных сетей. Новая кампания показывает, насколько опасными могут быть фальшивые загрузки популярных инструментов удалённого доступа.
Исследователи безопасности обнаружили масштабную атаку, в которой злоумышленники распространяют поддельные установщики корпоративных VPN-клиентов. Эти программы маскируются под легитимное ПО известных поставщиков и предназначены для кражи учетных данных сотрудников компаний.
Атака ориентирована на пользователей, которые ищут официальные загрузки VPN-клиентов через поисковые системы. В результате они могут попасть на фальшивые сайты и установить вредоносное программное обеспечение.
Как работает новая схема атак
Киберпреступная кампания была обнаружена исследователями Microsoft. Они отслеживают группу злоумышленников под именем Storm-2561, которая распространяет троянизированные версии популярных VPN-клиентов.
Атака начинается с манипуляции поисковой выдачей — так называемого SEO poisoning. Злоумышленники создают сайты, оптимизированные под популярные запросы вроде:
- download Pulse Secure VPN
- enterprise VPN client download
- Pulse VPN client installer
Когда пользователь переходит по такой ссылке, он попадает на сайт, визуально практически не отличимый от официального портала разработчика.
На этих страницах размещается архив с установщиком VPN-клиента. Однако внутри находится вредоносная программа, которая маскируется под легитимное корпоративное приложение.
Какие VPN-решения используют злоумышленники
Исследователи обнаружили, что мошенники имитируют множество известных корпоративных продуктов. Среди них:
- Cisco VPN
- Fortinet VPN
- Ivanti Pulse Secure
- Check Point
- Sophos
- SonicWall
- WatchGuard
Это показывает, что атака ориентирована на широкий круг организаций и может затронуть тысячи компаний по всему миру.
Поддельный веб-сайт Fortinet
Источник: Microsoft
Что происходит после установки вредоносного VPN
После запуска установщика на компьютер жертвы устанавливается троянизированный VPN-клиент. Он копирует файлы в системные каталоги и запускает дополнительные компоненты вредоносного ПО.
В частности, исследователи обнаружили использование инфостилера Hyrax, который отвечает за кражу данных.
Основные действия вредоносной программы:
- отображает поддельное окно входа в VPN
- собирает введенные логин и пароль
- похищает конфигурацию VPN-подключений
- отправляет данные на сервер злоумышленников
Кроме того, программа извлекает файл конфигурации connectionsstore.dat, содержащий параметры VPN-подключения пользователя.
Почему жертвы часто не замечают компрометацию
Особенность этой атаки заключается в хорошо продуманной маскировке.
После того как вредоносная программа похищает учетные данные, пользователю отображается сообщение об ошибке установки. Затем жертву автоматически перенаправляют на настоящий сайт разработчика VPN-клиента.
В итоге пользователь:
- думает, что произошёл обычный сбой установки
- скачивает официальный клиент
- успешно подключается к VPN
Из-за этого многие сотрудники даже не подозревают, что их учетные данные уже украдены.
Закрепление вредоносного ПО в системе
После заражения вредоносная программа сохраняет устойчивость в системе. Для этого используется механизм RunOnce в реестре Windows, позволяющий запускать компонент при перезагрузке компьютера.
Таким образом злоумышленники могут:
- сохранять доступ к системе
- продолжать сбор данных
- использовать украденные VPN-учетные записи для дальнейшего проникновения в корпоративную сеть.
Почему атаки на VPN становятся популярными
VPN-доступ часто является одним из главных способов подключения сотрудников к корпоративной инфраструктуре. Если злоумышленник получает такие учетные данные, он может:
- войти во внутреннюю сеть компании
- получить доступ к корпоративным сервисам
- проводить дальнейшие атаки
- внедрять ransomware.
В современных атаках всё чаще используются методы кражи идентификационных данных, а не прямые эксплойты программного обеспечения.
Как защититься от подобных атак
Эксперты по безопасности рекомендуют организациям внедрять дополнительные меры защиты.
Ключевые рекомендации:
- включить облачную защиту и блокировку угроз в антивирусных решениях
- использовать EDR-системы для мониторинга активности
- внедрить многофакторную аутентификацию (MFA)
- ограничить установку ПО на рабочих устройствах
- проверять источники загрузки корпоративных приложений.
Также важно обучать сотрудников распознавать фальшивые сайты и не скачивать программное обеспечение из неизвестных источников.
Выводы
Новая кампания по распространению поддельных VPN-клиентов демонстрирует, насколько эффективными могут быть атаки, основанные на подмене доверенных программ.
Использование SEO-манипуляций, поддельных сайтов и троянизированных установщиков позволяет злоумышленникам похищать учетные данные без эксплуатации уязвимостей.
Для бизнеса это серьёзная угроза: один украденный VPN-аккаунт может привести к компрометации всей корпоративной инфраструктуры. Поэтому организациям необходимо усиливать защиту идентификации пользователей, внедрять многофакторную аутентификацию и внимательно контролировать источники программного обеспечения.
Часто задаваемые вопросы
Что такое поддельный VPN-клиент?
Это вредоносная программа, которая маскируется под официальный установщик VPN-приложения. После запуска она собирает учетные данные пользователя и передает их злоумышленникам.
Какие данные крадут такие программы?
Обычно похищаются логины и пароли VPN, конфигурационные файлы подключения, а также другие данные, которые могут помочь злоумышленникам получить доступ к корпоративной сети.
Почему пользователи не замечают атаку?
После кражи данных вредоносный установщик показывает ошибку и перенаправляет пользователя на официальный сайт для загрузки настоящего клиента, создавая иллюзию обычного сбоя.
Какие компании могут быть затронуты?
Атака ориентирована на пользователей популярных корпоративных VPN-решений, включая Cisco, Fortinet, Ivanti и другие продукты для удаленного доступа.
Как снизить риск компрометации?
Необходимо скачивать VPN-клиенты только с официальных сайтов, использовать многофакторную аутентификацию, а также применять системы мониторинга и защиты конечных точек.