Корпорация Microsoft предупредила предприятия о том, что киберпреступная группа Storm-2561 перехватывает результаты поисковых систем для доставки троянизированных VPN-клиентов, кражи корпоративных учетных данных, а затем заметает следы до того, как жертвы успеют что-либо заподозрить.
Группа выводит поддельные веб-сайты на первые позиции в результатах поиска по таким запросам, как «загрузка Pulse VPN» или «клиент Pulse Secure», перенаправляя пользователей на вредоносное ПО с цифровой подписью, размещенное на GitHub, как сообщила команда Microsoft Threat Intelligence в своем предупреждении. «Использованные ими в этой кампании методы подчеркивают, как злоумышленники продолжают эксплуатировать доверенные платформы и бренды программного обеспечения, чтобы избежать подозрений пользователей и украсть конфиденциальную информацию», — говорится в предупреждении.
Эксперты Microsoft Defender впервые обнаружили эту активность в середине января 2026 года, хотя злоумышленник активен с мая 2025 года и известен распространением вредоносного ПО посредством отравления поисковой оптимизации (SEO) и выдачи себя за популярных поставщиков корпоративного программного обеспечения, говорится в предупреждении.
Кампания разворачивается на фоне того, что инфостилеры становятся все более опасными. Исследователи безопасности отмечают, что инфостилеры все чаще объединяются с троянами удаленного доступа, предоставляя злоумышленникам как украденные учетные данные, так и постоянный сетевой доступ в результате одной инфекции. Storm-2561 в точности следует этой схеме.
Внутри цепочки атак
Microsoft обнаружила поддельные страницы, имитирующие Fortinet, Ivanti, Cisco, SonicWall, Sophos, Checkpoint и WatchGuard, а также два домена — vpn-fortinet[.]com и ivanti-vpn[.]org — на которых размещались вредоносные ZIP-файлы на GitHub, говорится в предупреждении.
Само вредоносное ПО поставляется в виде ZIP-файла, содержащего установочный пакет Windows. Когда пользователь запускает загруженный установщик, он внедряет поддельное приложение Pulse Secure в каталог, который очень похож на путь установки легитимного Pulse Secure, сообщила Microsoft.
«Этот путь установки сливается с легитимным VPN-программным обеспечением, чтобы выглядеть надежным и избежать подозрения пользователя», — отмечается в предупреждении. Установщик подгружает два вредоносных DLL-файла вместе с поддельным приложением. Один действует как загрузчик в памяти. Другой, inspector.dll, является вариантом инфостилера Hyrax. Он извлекает сохраненные учетные данные VPN и данные URI и эксфильтрирует их на инфраструктуру, контролируемую злоумышленниками, добавили в предупреждении.
«Вредоносные ZIP-файлы, содержащие поддельные установочные файлы, размещались в репозиториях GitHub, которые с тех пор были удалены», — отмечается в предупреждении.
Метод доставки тесно напоминает тактику, замеченную в недавних кампаниях. В августе 2025 года исследователи из Arctic Wolf обнаружили вредоносное ПО GPUGate, распространяемое через репозитории GitHub и Google Ads, с использованием полезных нагрузок в формате MSI и эксфильтрацией учетных данных по почти идентичной цепочке доставки, что указывает на сближение злоумышленников к общему плану действий.
Использование подписанных сертификатов для обхода обнаружения
Файл MSI и вредоносные DLL подписаны действительным цифровым сертификатом от «Taiyuan Lihua Near Information Technology Co., Ltd.», сообщила Microsoft. Это позволило вредоносному ПО обойти предупреждения безопасности Windows для неподписанного кода, потенциально обойти политики «белых списков» приложений и уменьшить количество оповещений от инструментов, ориентированных на неподписанные исполняемые файлы.
С тех пор этот сертификат был отозван, добавлено в предупреждении.
Microsoft обнаружила несколько дополнительных файлов, подписанных тем же сертификатом, все они маскировались под VPN-программное обеспечение от разных поставщиков.
Злоумышленники заметают следы после кражи учетных данных
После захвата поддельный клиент отображает сообщение об ошибке, указывающее на сбой установки, говорится в предупреждении. Затем он направляет пользователя на загрузку легитимного VPN-клиента с официального сайта поставщика. «В некоторых случаях открывает браузер пользователя на легитимном VPN-сайте», — сообщила Microsoft. Если реальный VPN устанавливается и работает как положено, у жертвы нет никаких признаков компрометации.
Storm-2561 также обеспечивает постоянство через ключ реестра Windows RunOnce, гарантируя, что вредоносное ПО будет запускаться при каждой перезагрузке, отмечается в предупреждении. Стратегия перенаправления после кражи учетных данных устраняет поведенческие аномалии, которые в противном случае могли бы инициировать проверку безопасности. Кампании по SEO poisoning давно полагаются на введение в заблуждение, чтобы избежать оставления криминалистических следов. Storm-2561 идет дальше, перенаправляя жертв на легитимное программное обеспечение после кражи, не оставляя очевидных следов компрометации.
Меры по смягчению последствий
Microsoft рекомендовала организациям внедрить многофакторную аутентификацию для всех учетных записей без исключения. Корпоративные учетные данные не должны храниться в браузерных хранилищах паролей, защищенных личными учетными данными. Организациям также следует отключить синхронизацию паролей браузера на управляемых устройствах с помощью групповой политики, добавлено в предупреждении.
На уровне конечных точек Microsoft посоветовала запускать обнаружение и реагирование на конечных точках в режиме блокировки, а также включать защиту сети и защиту веб-ресурсов в Microsoft Defender for Endpoint. «Поощряйте пользователей использовать Microsoft Edge и другие веб-браузеры, поддерживающие SmartScreen, который идентифицирует и блокирует вредоносные веб-сайты, включая фишинговые сайты, мошеннические сайты, а также сайты, содержащие эксплойты и размещающие вредоносное ПО», — говорится в предупреждении.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gyana Swain
