A legújabb átverés: hamis VPN-ekkel lopják a jelszavakat

Kiberbűnözők egy csoportja, amelyet Storm-2561 néven emlegetnek, hamis vállalati VPN-kliensekkel próbálja megszerezni a felhasználók bejelentkezési adatait. Ezek a kamuszoftverek többek között a Check Point, Cisco, Fortinet, Ivanti, SonicWall, Sophos és WatchGuard valódi oldalait másolják le. A bűnözők kifejezetten a keresési találatok manipulálásával érik el, hogy az áldozatok a hamis letöltési oldalaikra kattintsanak – például amikor valaki VPN-klienst szeretne frissíteni vagy telepíteni.

Így verik át az áldozatokat

A megtévesztő oldalakra kattintva a felhasználók egy GitHub-tárhelyre jutnak, ahol a hamis VPN-telepítő Microsoft Windows Installer (MSI) fájlként jelenik meg. Telepítéskor a program rosszindulatú DLL-fájlokat – dwmapi.dll és inspector.dll – tölt be, majd a felhasználótól kéri a bejelentkezési adatokat. Ezek az információk azonnal egy, a támadók által irányított szerverre kerülnek, miközben a telepítő teljesen valódinak tűnik. A telepítők korábban egy érvényes, de azóta visszavont, egy kínai cég által kiállított digitális tanúsítvánnyal voltak aláírva.

Az eltüntetett nyomok trükkje

A csavar az egészben, hogy a hamis VPN az adatok begyűjtése után hibaüzenetet dob, és ráveszi az áldozatot, hogy töltse le a valódi szoftvert a hivatalos oldalról. Hasonlóképpen néha automatikusan megnyitja a valódi gyártó weboldalát a böngészőben. Feltételezhető, hogy sokan ezt technikai hibának tekintik, és sosem jönnek rá, hogy közben ellopták tőlük a fontos céges adataikat.

Tanácsok a védekezéshez

Elsődleges a többlépcsős hitelesítés (MFA) kötelezővé tétele minden fióknál, így elkerülhető, hogy egy ellopott jelszó önmagában elegendő legyen egy támadáshoz. Minden eszközön, mindenhol követelni kell az MFA-t – még a korábban mentességet kapott felhasználóktól is. Fontos az is, hogy céges bejelentkezési adatokat sose tároljunk böngészőben vagy olyan jelszókezelőkben, amelyek csak személyes jelszóval védettek.

2025, adrienne, go.theregister.com alapján