MalwarePhishingCyberkriminalität

Storm-2561: Gefährliche Fake-VPN-Kampagne zielt auf deutsche Nutzer ab

Storm-2561: Gefährliche Fake-VPN-Kampagne zielt auf deutsche Nutzer ab
Zusammenfassung

Die Bedrohungsgruppe Storm-2561 führt derzeit eine gefährliche Kampagne zur Diebstahl von VPN-Zugangsdaten durch, die seit Januar 2025 aktiv ist. Die Angreifer nutzen Suchmaschinen-Manipulation, um Nutzer auf gefälschte Download-Seiten für beliebte VPN-Clients wie Pulse Secure zu locken. Über manipulierte Suchergebnisse werden Opfer dazu verleitet, trojanische Software herunterzuladen, die mit gültigen digitalen Zertifikaten signiert ist, um Sicherheitsmechanismen zu umgehen. Nach der Installation präsentiert sich die Malware als legitime VPN-Software und fordert zur Eingabe von Anmeldedaten auf, die unmittelbar an Server der Angreifer übertragen werden. Besonders tückisch ist die Tatsache, dass die gefälschte Anwendung anschließend eine Fehlermeldung anzeigt und den Nutzer zum Download der echten Software führt – wodurch der Angriff möglicherweise unbemerkt bleibt. Für deutsche Nutzer und Unternehmen stellt diese Kampagne ein erhebliches Sicherheitsrisiko dar, besonders für remote arbeitende Mitarbeiter, die auf VPN-Verbindungen angewiesen sind. Unternehmen sollten ihre Mitarbeiter sensibilisieren, VPN-Software ausschließlich von offiziellen Herstellerwebseiten herunterzuladen und verdächtige Suchergebnisse zu meiden.

Die Bedrohungsgruppe Storm-2561 hat sich seit Mai 2025 als gefährlicher Akteur im Cyberspace etabliert. Die neue Kampagne demonstriert eine hochprofessionelle Arbeitsweise, bei der mehrere Angriffsvektoren kombiniert werden, um maximale Erfolgsquoten zu erzielen.

Die Funktionsweise ist tückisch: Nutzer, die nach “Pulse VPN Download” oder “Pulse Secure Client” suchen, erhalten durch SEO-Poisoning manipulierte Suchergebnisse. Diese führen zu gefälschten Download-Seiten, von denen die Malware bereitgestellt wird. Besonders clever: Die Malware wird von GitHub-Repositories heruntergeladen – eine Plattform, der viele Nutzer vertrauen.

Das zentrale Element der Attacke ist eine bösartige MSI-Installer-Datei, die in einem ZIP-Archiv versteckt ist. Bei der Installation wird ein DLL seitengeladen, das eine Variante des Hyrax-Information-Stealers ausführt. Dieser sammelt URI- und VPN-Anmeldedaten und sendet sie an einen von Angreifern kontrollierten Server. Besonders raffiniert: Sowohl die MSI als auch die DLL waren mit einem gültigen Zertifikat der Firma Taiyuan Lihua Near Information Technology Co., Ltd. signiert – was Antiviren-Software täuscht. Dieses Zertifikat wurde mittlerweile widerrufen.

Nach der Installation zeigt die Fake-VPN-Software eine täuschend echte Benutzeroberfläche an, die zur Eingabe von Anmeldedaten auffordert. Diese werden sofort an die Angreifer übertragen. Gleichzeitig wird die Software über den Windows RunOnce-Registrierungsschlüssel dauerhaft installiert, um Persistenz zu gewährleisten.

Die Gefährlichkeit dieser Attacke liegt auch in ihrer Unauffälligkeit: Nach dem vermeintlichen Installationsfehler wird der Nutzer aufgefordert, die echte Pulse-VPN-Software herunterzuladen – und schließlich anzuwenden. Funktioniert die legitime Software danach korrekt, hat der Nutzer keinen Grund, einen Kompromiss zu vermuten.

Für deutsche Nutzer und Unternehmen ist besondere Vorsicht geboten. Beim Download von VPN-Clients sollten ausschließlich offizielle Websites verwendet werden, nicht Suchmaschinenergebnisse. Zusätzlich empfehlen sich Sicherheitslösungen, die Prozess-Injections und verdächtige Zertifikatsignaturen erkennen.

Ähnliche Artikel