Um grupo criminoso identificado como Storm-2561 está distribuindo versões falsas de clientes VPN corporativos das marcas Ivanti, Cisco e Fortinet, com o objetivo de roubar credenciais de acesso dos usuários.
Os atacantes usam uma técnica conhecida como SEO poisoning para manipular resultados de busca em consultas comuns, como “Pulse VPN download” ou “Pulse Secure client”.
Dessa forma, eles redirecionam as vítimas para sites falsificados que reproduzem com precisão as páginas oficiais dos fornecedores legítimos de VPN.
Ao analisar essa campanha e a infraestrutura de comando e controle (C2), pesquisadores da Microsoft identificaram que os domínios utilizados incluem nomes relacionados a Sophos, SonicWall, Ivanti, Check Point, Cisco, WatchGuard, entre outros, evidenciando que múltiplos produtos empresariais de VPN estão sendo visados.
Na prática, os sites fraudulentos direcionavam os usuários a um repositório no GitHub (já removido), que hospedava um arquivo ZIP contendo um instalador MSI falso da VPN.
Ao ser executado, o instalador instala um arquivo chamado ‘Pulse.exe’ na pasta %CommonFiles%\Pulse Secure, além de um loader (‘dwmapi.dll’) e uma variação do infostealer Hyrax (‘inspector.dll’).
O cliente VPN falso exibe uma tela de login com aparência legítima, onde as vítimas inserem suas credenciais.
Esses dados são capturados e enviados para a infraestrutura dos invasores.
O malware, que possui uma assinatura digital válida — porém revogada — emitida pela Taiyuan Lihua Near Information Technology Co., Ltd., também rouba dados de configuração da VPN contidos no arquivo ‘connectionsstore.dat’ da instalação legítima.
Para não levantar suspeitas, após capturar as credenciais, o cliente falso exibe uma mensagem de erro de instalação e redireciona o usuário para o site oficial do fornecedor, para que baixe o software verdadeiro.
Segundo a Microsoft, “se os usuários conseguem instalar e usar a VPN legítima depois, e a conexão funciona normalmente, não há indícios perceptíveis de comprometimento, fazendo com que a falha inicial seja atribuída a problemas técnicos, e não a malware.”
Enquanto isso, em segundo plano, o infostealer cria persistência para o ‘Pulse.exe’ usando a chave de registro Windows RunOnce, garantindo que a infecção permaneça após reinicializações do sistema.
Os especialistas recomendam que administradores ativem a proteção em nuvem do Defender, configurem o EDR no modo de bloqueio, exijam autenticação multifator e utilizem navegadores com SmartScreen ativado.
Além disso, a Microsoft disponibilizou indicadores de comprometimento (IoCs) e orientações para ajudar na detecção precoce e bloqueio dessa campanha maliciosa.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...