Storm-2561 širi trojanizovane VPN klijente kroz SEO poisoning i krade pristupne podatke
Microsoft je otkrio kampanju krađe kredencijala u kojoj grupa označena kao Storm-2561 koristi SEO poisoning da bi korisnike koji traže legitimni VPN softver preusmerila na zlonamerne sajtove. Tamo se preuzimaju ZIP arhive sa MSI instalacijama koje se predstavljaju kao VPN klijenti kompanija poput Ivanti ili SonicWall, ali zapravo instaliraju malware koji prikuplja VPN kredencijale.
Pojašnjenje
Napad koristi poverenje u rezultate pretrage i brendove poznatih proizvođača softvera. Kada administrator ili zaposleni traži VPN klijent preko pretraživača, može završiti na lažnom sajtu koji nudi trojanizovanu instalaciju. Time napadači dobijaju kredencijale za pristup korporativnim mrežama, što može dovesti do daljih kompromitacija.
Preporuke
- Preuzimati VPN i drugi poslovni softver isključivo sa zvaničnih sajtova proizvođača
- Uvesti MFA za VPN i druge udaljene pristupe kako bi se smanjila vrednost ukradenih kredencijala
- Pratiti sumnjive DNS ili web zahteve prema nepoznatim domenima tokom instalacije softvera
- Ograničiti instalaciju softvera na administratore i koristiti aplikacione allow-liste
- Edukovati zaposlene da ne veruju slepo rezultatima pretrage prilikom preuzimanja softvera