Преступникам больше не нужно ломать сеть. Вы сами даете им доступ, когда ищете VPN
NewsMakerПочему поддельный софт работает так же хорошо, как настоящий.
Поиск корпоративного VPN-клиента в интернете может закончиться кражей учётных данных. Кампания киберпреступной группы Storm-2561 показывает, насколько легко злоумышленники превращают обычный запрос в поисковике в ловушку с вредоносным программным обеспечением.
Специалисты подразделения по анализу угроз компании Microsoft обнаружили атаку, в которой злоумышленники распространяют поддельные VPN-клиенты через так называемое «отравление» результатов поиска . Пользователь ищет в поисковике корпоративное программное обеспечение, например клиент Pulse Secure, после чего попадает на поддельный сайт, маскирующийся под страницу известного производителя. Вместо настоящего установщика сайт предлагает загрузить архив с вредоносной программой.
Атаки приписали группе Storm-2561. Группировка действует как минимум с мая 2025 года и регулярно распространяет вредоносные программы через поддельные сайты, которые имитируют страницы популярных поставщиков программного обеспечения. В новой кампании злоумышленники делали ставку на доверие к результатам поиска. Поддельные сайты поднимались в выдаче по запросам вроде «Pulse VPN download» или «Pulse Secure client».
При переходе по ссылке пользователь попадал на страницу, которая выглядела как официальный сайт. Кнопка загрузки вела на репозиторий сервиса GitHub , где находился архив VPN-CLIENT.zip. Репозиторий позже удалили, однако во время атаки архив распространялся свободно.
Поиск корпоративного VPN-клиента в интернете может закончиться кражей учётных данных. Кампания киберпреступной группы Storm-2561 показывает, насколько легко злоумышленники превращают обычный запрос в поисковике в ловушку с вредоносным программным обеспечением.
Специалисты подразделения по анализу угроз компании Microsoft обнаружили атаку, в которой злоумышленники распространяют поддельные VPN-клиенты через так называемое «отравление» результатов поиска . Пользователь ищет в поисковике корпоративное программное обеспечение, например клиент Pulse Secure, после чего попадает на поддельный сайт, маскирующийся под страницу известного производителя. Вместо настоящего установщика сайт предлагает загрузить архив с вредоносной программой.
Атаки приписали группе Storm-2561. Группировка действует как минимум с мая 2025 года и регулярно распространяет вредоносные программы через поддельные сайты, которые имитируют страницы популярных поставщиков программного обеспечения. В новой кампании злоумышленники делали ставку на доверие к результатам поиска. Поддельные сайты поднимались в выдаче по запросам вроде «Pulse VPN download» или «Pulse Secure client».
При переходе по ссылке пользователь попадал на страницу, которая выглядела как официальный сайт. Кнопка загрузки вела на репозиторий сервиса GitHub , где находился архив VPN-CLIENT.zip. Репозиторий позже удалили, однако во время атаки архив распространялся свободно.