Microsoft hat eine Kampagne der Gruppe Storm-2561 dokumentiert, die gefälschte VPN-Clients großer Hersteller einsetzt, um Zugangsdaten aus Unternehmensumgebungen zu stehlen. Den Einstieg bildet SEO-Poisoning: Die Angreifer manipulieren Suchergebnisse zu Anfragen wie “Pulse VPN download” oder “Pulse Secure client” und lenken ihre Opfer auf nachgebaute Webseiten, die die Auftritte legitimer Softwareanbieter imitieren.

Bei der Untersuchung der Angriffs- und Command-and-Control-Infrastruktur fanden die Microsoft-Forscher Domains mit Bezug zu Sophos, Sonicwall, Ivanti, Check Point, Cisco, WatchGuard und weiteren Anbietern. Die Kampagne zielt damit auf Nutzer mehrerer Enterprise-VPN-Produkte gleichzeitig.

Im konkret beobachteten Fall verlinkten die gefälschten Seiten auf ein mittlerweile entferntes GitHub-Repository, das ein ZIP-Archiv mit einem gefälschten MSI-Installer enthielt. Wird die Datei ausgeführt, installiert sie “Pulse.exe” nach %CommonFiles%\Pulse Secure und legt zusätzlich einen Loader (dwmapi.dll) sowie eine Variante des Infostealers Hyrax (inspector.dll) ab.

Der gefälschte VPN-Client zeigt eine glaubwürdig wirkende Login-Maske an. Die dort eingegebenen Zugangsdaten werden abgefangen und an die Infrastruktur der Angreifer ausgeleitet. Die Malware ist digital signiert – mit einem zwar gültigen, inzwischen aber widerrufenen Zertifikat von Taiyuan Lihua Near Information Technology Co., Ltd. Darüber hinaus stiehlt sie VPN-Konfigurationsdaten aus der Datei “connectionsstore.dat” im Verzeichnis des echten Programms.

Um Verdacht zu vermeiden, zeigt der gefälschte Client nach dem Diebstahl einen Installationsfehler an und leitet die Opfer anschließend auf die echte Hersteller-Seite weiter, wo sie den legitimen VPN-Client herunterladen können. “Wenn Nutzer danach erfolgreich legitime VPN-Software installieren und nutzen und die VPN-Verbindung wie erwartet funktioniert, gibt es für die Endnutzer keine Anzeichen einer Kompromittierung; sie schreiben das anfängliche Scheitern der Installation wahrscheinlich technischen Problemen zu und nicht einer Malware”, erläutert Microsoft.

Im Hintergrund verankert sich der Infostealer über den Windows-Registry-Schlüssel RunOnce dauerhaft für Pulse.exe, sodass die Infektion einen Neustart des Systems übersteht.

Microsoft empfiehlt Administratoren, in Defender den cloudbasierten Schutz zu aktivieren, EDR im Blockiermodus zu betreiben, Multi-Faktor-Authentifizierung zu erzwingen und Browser mit aktiviertem SmartScreen einzusetzen. Zur frühzeitigen Erkennung und Abwehr der Kampagne hat das Unternehmen zudem Indikatoren einer Kompromittierung (IoCs) sowie Hinweise zur Bedrohungssuche veröffentlicht.