Storm-2561 отравляет поисковики: поддельные VPN воруют корпоративные учетки через GitHub
Группировка Storm-2561, активная с мая 2025 года, использует SEO-отравление для распространения фальшивых VPN-клиентов, ворующих корпоративные учётные данные. Злоумышленники поднимают в выдаче поисковиков сайты, имитирующие официальные страницы Pulse Secure, Ivanti, Fortinet и других вендоров, с которых жертвы скачивают вредоносные ZIP-архивы с GitHub.
Внутри архива находится MSI-установщик, внешне неотличимый от легитимного VPN-клиента. При запуске он раскладывает файлы в %CommonFiles%\Pulse Secure и подгружает две вредоносные DLL: dwmapi.dll (загрузчик шелл-кода в памяти) и inspector.dll (инфостилер Hyrax). Оба файла и сам MSI подписаны действительным цифровым сертификатом китайской компании Taiyuan Lihua Near Information Technology Co., Ltd. (сертификат впоследствии отозван).
После установки пользователю показывается поддельный интерфейс входа, полностью копирующий настоящий VPN-клиент. Введённые логин и пароль уходят на C2-сервер 194.76.226[.]93:8080, а на экране появляется ошибка с предложением скачать официальный клиент с сайта производителя. Если жертва затем установит настоящий VPN и он заработает, инцидент списывается на технический сбой.
Помимо кражи учётных данных, inspector.dll извлекает сохранённые конфигурации VPN. Для закрепления в системе установщик прописывает Pulse.exe в ключ автозапуска RunOnce.
Microsoft заблокировала вредоносные репозитории на GitHub и добавила детекты в Defender. В отчёте приведены полные индикаторы компрометации (IoC): домены-приманки (vpn-fortinet.com, ivanti-vpn.org), хеши файлов и IP-адрес C2.
Теги:
похожие материалы
GitHub начал «проваливаться» в России: разработчики жалуются на доступ к репозиториям
В России фиксируют рост проблем с доступом к GitHub - крупнейшей платформе для хранения кода и совместной разработки IT-проектов.
Суд запретил шутки, но РКН не понял, какие именно
Чертановский суд Москвы запретил материалы на трех юмористических сайтах, включая «ЯПлакалъ», «Анекдотов стрит» и «Анекдото.
Аккаунты исчезают вместе с архивами: Claude добрался до российских пользователей
Российские пользователи Claude начали массово жаловаться на блокировку аккаунтов.
Эксперты предупредили о «серых» сайтах, которые могут привести к потере денег и данных
«Лаборатория Касперского» в новом отчёте рассказывает о так называемых «серых» сайтах — ресурсах, которые не относятся к классическим фишинговым, но всё чаще используются для обмана пользователей.
UserGate вошел в топ-5 российских ИТ‑компаний — лидеров технологического развития России
Компания UserGate заняла пятое место среди пятидесяти ведущих российских компаний — лидеров технологического развития страны, работающих в индустрии информационных технологий(ИТ).
«Газинформсервис» — лидер рейтинга АЦ «Эксперт» по сотрудничеству с университетами
Компания «Газинформсервис» заняла первое место в рейтинге ИТ-компаний — лидеров по сотрудничеству с университетами по итогам исследования аналитического центра «Эксперт».
ИИ-агенты будут влиять на выручку бизнеса
По прогнозу IBM и Oxford Economics, к 2030 году главным риском для компаний станет не возможность ошибки, а излишняя осторожность.
Банковский троян научили писать знакомым жертвы от ее имени
Elastic Security Labs обнаружила новый бразильский банковский троян TCLBANKER.
Dirty Frag раскрыли раньше срока: Linux-системы получили риск локального захвата root
В Linux досрочно раскрыли уязвимость Dirty Frag, которая позволяет локальному пользователю повысить привилегии до root на основных дистрибутивах.
