Microsoft waarschuwt voor fake zakelijke vpn-software met malware

In dit artikel:

Microsoft waarschuwt dat aanvallers malafide vpn-installers verspreiden die in werkelijkheid malware bevatten en gericht zijn op zakelijke vpn-accounts. De campagne, recent ontdekt door Microsoft, gebruikt SEO-poisoning om nepsites in zoekresultaten omhoog te laten komen en biedt valse downloads aan voor bekende leveranciers zoals Ivanti, Fortinet, Cisco, Checkpoint, Sophos, SonicWall en WatchGuard. De downloadlink verwijst vaak naar een op GitHub gehost bestand dat als installatieprogramma fungeert; dat programma toont een valse inlogprompt die sterk lijkt op de echte vpn-client. Zodra een gebruiker zijn wachtwoord en vpn-configuratie invoert, worden deze gegevens naar de aanvaller gestuurd. De malware geeft daarna een nep-foutmelding en vraagt de gebruiker de legitieme vpn-software te installeren — soms opent het zelfs de echte vendor-website om argwaan te voorkomen — en zorgt voor blijvende aanwezigheid via registerwijzigingen bij opstarten.

Het doel is het buitmaken van vpn-inloggegevens om toegang tot bedrijfsnetwerken te verkrijgen. Bedrijven en gebruikers worden aangeraden downloads uitsluitend van officiële vendor-sites te halen, checksums/handtekeningen te controleren, multi-factor authenticatie te gebruiken en endpoints met actuele detectie te beschermen.