Gehackte FortiClient-servers verspreiden malware vermomd als Fortinet-patch

In dit artikel:

Cybercriminelen misbruiken gehackte Fortinet FortiClient EMS-servers om binnen organisaties een infostealer te verspreiden die zich voordoet als een Fortinet-update, meldt cybersecuritybedrijf Arctic Wolf. FortiClient EMS is de centrale beheersoftware waarmee IT-beheerders antivirusinstellingen, webfilters, vpn's en updates voor FortiClient-clients op afstand beheren. Begin april waarschuwde Fortinet al voor actief misbruik van een kritieke kwetsbaarheid in die EMS-software (CVE-2026-35616); die fout maakt het mogelijk voor een niet-geauthenticeerde aanvaller om willekeurige code op de server uit te voeren.

Volgens Arctic Wolf gebruiken aanvallers dat lek om eerst de managementserver te kapen en vervolgens via hetzelfde beheerpad malware uit te rollen naar alle gekoppelde endpoints. De kwaadaardige code steelt inloggegevens, cookies en opgeslagen betalingsgegevens uit browsers zoals Google Chrome, Microsoft Edge (en andere Chromium-browsers) en Firefox, en wordt verspreid met een valse Fortinet-update. Daarbij voeren de aanvallers via het beheerkanaal malafide PowerShell-commando’s uit op beheerde systemen, waardoor de acties vertrouwd lijken.

Organisaties wordt dringend aangeraden FortiClient EMS zo snel mogelijk te patchen, toegang tot de managementserver te beperken en logs en PowerShell-activiteit te monitoren. Extra maatregelen zijn het forceren van wachtwoordwijzigingen of credentials-rotatie, inschakelen van multi-factor authenticatie waar mogelijk, en het scannen van endpoints op verdachte processen en ongeautoriseerde updates.