Um agente de ameaça rastreado como Storm-2561 está distribuindo clientes VPN corporativos falsos da Ivanti, Cisco e Fortinet para roubar credenciais VPN de usuários desavisados.
Os invasores manipulam os resultados da pesquisa (envenenamento de SEO) para consultas comuns como “download do Pulse VPN” ou “cliente Pulse Secure” para redirecionar as vítimas para sites falsificados de fornecedores de VPN que imitam de perto soluções VPN de fornecedores de software legítimos.
Depois de examinar a infraestrutura de ataque e comando e controle (C2), os pesquisadores da Microsoft descobriram que a mesma campanha usava domínios relacionados a Sophos, Sonicwall, Ivanti, Check Point, Cisco, WatchGuard e outros, visando usuários de vários produtos VPN empresariais.
No ataque observado, a Microsoft descobriu que os sites falsos vinculam-se a um repositório GitHub (agora retirado) que hospeda um arquivo ZIP contendo um instalador VPN MSI falso.
Fonte: Microsoft
Quando executado, este arquivo instala ‘Pulse.exe’ em %CommonFiles%Pulse Secure e descarta um carregador (dwmapi.dll) e uma variante do infostealer Hyrax (inspector.dll).
O falso cliente VPN exibe uma interface de login de aparência legítima que convida as vítimas a inserir suas credenciais, que são capturadas e exfiltradas para a infraestrutura do invasor.
O malware, que é assinado digitalmente com um certificado legítimo, mas agora revogado, da Taiyuan Lihua Near Information Technology Co., Ltd., também rouba dados de configuração VPN armazenados no arquivo ‘connectionsstore.dat’ do diretório do programa legítimo.
Para reduzir as suspeitas, o cliente VPN falso exibe um erro de instalação após roubar as credenciais e as redireciona para o site do fornecedor real para baixar o cliente VPN legítimo.
“Se os usuários instalarem e usarem com sucesso software VPN legítimo posteriormente, e a conexão VPN funcionar conforme o esperado, não há indicações de comprometimento para os usuários finais (…), (que) provavelmente atribuirão a falha de instalação inicial a problemas técnicos, não a malware”, explica a Microsoft.
Enquanto isso, em segundo plano, o malware infostealer cria persistência para Pulse.exe por meio da chave de registro do Windows RunOnce, garantindo que a infecção sobreviva às reinicializações do sistema.
Os pesquisadores recomendam que os administradores do sistema habilitem a proteção fornecida pela nuvem no Defender, executem o EDR no modo de bloqueio, apliquem a autenticação multifator e usem navegadores habilitados para SmartScreen.
A Microsoft também forneceu indicadores de comprometimento (IoCs) e orientações de busca para ajudar a detectar e bloquear esta campanha antecipadamente.
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos.
Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Deseja saber mais sobre Golpes Online, Spam, Phishing e Cibersegurança Clique Aqui!