Реклама. 18+. Рекламодатель ООО "ЮЗЕРГЕЙТ", ИНН 5408308256, erid:2SDnjebHh8M
Image

UserGate Open Conf 2026

Соберём 3000+ экспертов ИБ в одном месте. Роадмапы, лабы, нагрузочные тестирования и анонсы двух новых продуктов. Регистрация открыта!

Преступникам больше не нужно ломать сеть. Вы сами даете им доступ, когда ищете VPN

leer en español

Microsoft VPN Google Storm-2561
Преступникам больше не нужно ломать сеть. Вы сами даете им доступ, когда ищете VPN
Microsoft VPN Google Storm-2561

Почему поддельный софт работает так же хорошо, как настоящий.

image

Поиск корпоративного VPN-клиента в интернете может закончиться кражей учётных данных. Кампания киберпреступной группы Storm-2561 показывает, насколько легко злоумышленники превращают обычный запрос в поисковике в ловушку с вредоносным программным обеспечением.

Специалисты подразделения по анализу угроз компании Microsoft обнаружили атаку, в которой злоумышленники распространяют поддельные VPN-клиенты через так называемое «отравление» результатов поиска. Пользователь ищет в поисковике корпоративное программное обеспечение, например клиент Pulse Secure, после чего попадает на поддельный сайт, маскирующийся под страницу известного производителя. Вместо настоящего установщика сайт предлагает загрузить архив с вредоносной программой.

Атаки приписали группе Storm-2561. Группировка действует как минимум с мая 2025 года и регулярно распространяет вредоносные программы через поддельные сайты, которые имитируют страницы популярных поставщиков программного обеспечения. В новой кампании злоумышленники делали ставку на доверие к результатам поиска. Поддельные сайты поднимались в выдаче по запросам вроде «Pulse VPN download» или «Pulse Secure client».

При переходе по ссылке пользователь попадал на страницу, которая выглядела как официальный сайт. Кнопка загрузки вела на репозиторий сервиса GitHub, где находился архив VPN-CLIENT.zip. Репозиторий позже удалили, однако во время атаки архив распространялся свободно.

Внутри архива находился установщик для Microsoft Windows, который имитировал легальный клиент Pulse Secure. После запуска установщик создавал каталог, похожий на настоящий путь установки программы, и размещал там файл Pulse.exe вместе с вредоносными библиотеками dwmapi.dll и inspector.dll. Такой приём позволял вредоносной программе выглядеть как обычное программное обеспечение.

Файл dwmapi.dll выполнял роль загрузчика и запускал скрытый вредоносный код, который активировал библиотеку inspector.dll. Библиотека представляла собой разновидность инфостилера Hyrax. Программа собирала адреса серверов VPN и учётные данные пользователя, после чего отправляла информацию на сервер управления злоумышленников.

Дополнительную правдоподобность установщику придавала цифровая подпись. Вредоносные файлы подписали действующим сертификатом китайской компании Taiyuan Lihua Near Information Technology Co., Ltd. Сертификат позднее отозвали. Использование легальной подписи помогало обходить предупреждения системы безопасности и снижало вероятность обнаружения вредоносного файла.

После установки поддельный VPN-клиент показывал интерфейс входа, почти полностью повторяющий настоящий клиент Pulse Secure. Пользователь вводил имя и пароль, рассчитывая подключиться к сети компании. Вместо подключения программа перехватывала учётные данные и отправляла информацию на сервер злоумышленников.

Дальше вредоносная программа показывала сообщение об ошибке установки и предлагала скачать настоящий VPN-клиент с официального сайта. В некоторых случаях браузер автоматически открывал легальную страницу загрузки. Пользователь устанавливал настоящий клиент, подключался к сети компании и не замечал ничего подозрительного. Неудачную установку первого клиента большинство пользователей воспринимали как обычную техническую проблему.

Чтобы сохранить доступ к системе, вредоносная программа добавляла запись в раздел реестра Windows RunOnce. После перезагрузки компьютера файл Pulse.exe запускался снова и продолжал работу в системе.

По данным Microsoft, злоумышленники использовали несколько поддельных доменов, в том числе vpn-fortinet[.]com и ivanti-vpn[.]org. Через такие сайты распространялись вредоносные версии VPN-клиентов, замаскированные под программное обеспечение различных производителей.

Кампания показывает старую, но по-прежнему эффективную схему. Пользователь доверяет результатам поиска, скачивает «официальную» программу и добровольно вводит учётные данные. После установки настоящего VPN-клиента следов компрометации почти не остаётся, а украденные учётные данные уже оказываются в руках злоумышленников.