MalwarePhishingHackerangriffe

Gefälschte Enterprise-VPN-Clients: Hacker stehlen Unternehmensanmeldedaten

Gefälschte Enterprise-VPN-Clients: Hacker stehlen Unternehmensanmeldedaten
Zusammenfassung

Eine neue Bedrohungskampagne zeigt, wie gefährlich manipulierte Suchergebnisse für Unternehmensanwender sein können. Die Hackergruppe Storm-2561 verbreitet gefälschte VPN-Clients namhafter Hersteller wie Ivanti, Cisco und Fortinet, um gezielt Anmeldedaten zu stehlen. Die Angreifer nutzen SEO-Poisoning, um ihre betrügerischen Websites bei Suchanfragen nach VPN-Clients prominent zu platzieren. Opfer, die vermeintlich legitime Software herunterladen, installieren stattdessen Malware, die Zugangsdaten abfängt und an die Angreifer sendet. Die Kampagne betrifft potenziell alle Organisationen, deren Mitarbeiter von zuhause aus über VPN-Verbindungen auf interne Netzwerke zugreifen – ein in Deutschland weit verbreitetes Szenario. Für deutsche Unternehmen und Behörden stellt dies ein erhebliches Risiko dar, da kompromittierte VPN-Konten Cyberkriminellen Zugang zu sensiblen Unternehmensnetzen verschaffen können. Besonders besorgniserregend ist die technische Raffinesse: Die Malware täuscht Installationsfehler vor und leitet Nutzer zur echten Software weiter, wodurch der Betrug lange unentdeckt bleiben kann. Microsoft hat technische Indikatoren und Schutzmaßnahmen veröffentlicht, um Organisationen bei der Abwehr dieser Kampagne zu unterstützen.

Die Bedrohung ist real und hochgradig gefährlich: Unter dem Namen Storm-2561 operiert eine Hackergruppe, die eine massive Phishing-Kampagne gegen Nutzer von Enterprise-VPN-Lösungen durchführt. Das Ziel ist eindeutig: Unternehmenszugangsdaten erbeuten und damit in Firmennetzwerke eindringen.

Die Angriffsmethode ist raffiniert. Die Kriminellen manipulieren Suchmaschinenergebnisse gezielt so, dass Nutzer auf gefälschte Download-Seiten geleitet werden. Wer beispielsweise nach “Pulse VPN download” oder “Pulse Secure client” sucht, landet schnell auf einer täuschend echten Nachbildung der echten Hersteller-Websites von Ivanti, Cisco, Fortinet, Sophos, SonicWall, Check Point oder WatchGuard.

Bei der Installation passiert es: Die heruntergeladene ZIP-Datei enthält einen gefälschten VPN-MSI-Installer. Wird dieser ausgeführt, installiert sich die Malware im Verzeichnis %CommonFiles%\Pulse Secure und setzt mehrere gefährliche Komponenten ein: einen Loader namens dwmapi.dll sowie den Infostealer-Virus Hyrax (als inspector.dll). Besonders tückisch ist die Täuschung des Anwenders: Das Programm zeigt eine legitim aussehende Anmeldemask an und bittet um Eingabe der VPN-Zugangsdaten. Diese werden sofort an die Kriminellen weitergeleitet.

Parallel dazu stiehlt die Malware auch die VPN-Konfigurationsdatei connectionsstore.dat aus dem echten Programm-Verzeichnis. Alle Daten landen bei den Angreifern. Das perfide an der ganzen Geschichte: Das Programm zeigt danach absichtlich eine Fehlermeldung an und leitet die Nutzer zum echten VPN-Anbieter weiter. Wer dann die legitime Software installiert und die VPN-Verbindung klappt, glaubt völlig zu Recht, dass der erste Versuch ein technischer Fehler war — nicht das Werk von Hackern.

Im Hintergrund arbeitet die Malware weiter und verschafft sich Persistenz über den Windows-Registry-Schlüssel RunOnce. Die Infektion überlebt damit auch Neustarts des Systems.

Microsoft empfiehlt Administratoren dringend, Cloud-Schutzfunktionen in Defender zu aktivieren, EDR im Block-Modus zu betreiben, Multi-Faktor-Authentifizierung durchzusetzen und nur SmartScreen-aktivierte Browser zu nutzen. Das Unternehmen hat zudem Indikatoren bereitgestellt, um die Kampagne früh zu erkennen.

Ähnliche Artikel