🌟 Atualização imperdÃvel para quem gosta de estar bem informado!
A notÃcia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Microsoft divulgou detalhes de uma campanha de roubo de credenciais que emprega clientes falsos de rede privada virtual (VPN) distribuÃdos por meio de técnicas de envenenamento de otimização de mecanismo de pesquisa (SEO).
“A campanha redireciona os usuários que procuram software corporativo legÃtimo para arquivos ZIP maliciosos em sites controlados por invasores para implantar trojans assinados digitalmente que se disfarçam de clientes VPN confiáveis enquanto coletam credenciais VPN”, disseram as equipes Microsoft Threat Intelligence e Microsoft Defender Experts.
O fabricante do Windows, que observou a atividade em meados de janeiro de 2026, atribuiu-a ao Storm-2561, um cluster de atividades de ameaças conhecido por propagar malware por meio de envenenamento de SEO e se passar por fornecedores de software populares desde maio de 2025.
As campanhas do agente da ameaça foram documentadas pela primeira vez por Cyjax, destacando o uso de envenenamento de SEO para redirecionar usuários que procuram programas de software de empresas como SonicWall, Hanwha Vision e Pulse Secure (agora Ivanti Secure Access) no Bing para sites falsos e induzi-los a baixar instaladores MSI que implantam o carregador Bumblebee.
Uma iteração subsequente do ataque foi divulgada por Zscaler em outubro de 2025. A campanha foi observada aproveitando-se de usuários que procuravam software legÃtimo no Bing para propagar um cliente VPN Ivanti Pulse Secure trojanizado por meio de sites falsos ("ivanti-vpn[.]org") que, em última análise, roubaram credenciais VPN da máquina da vÃtima.
A Microsoft disse que a atividade destaca como os agentes de ameaças exploram a confiança nas classificações dos mecanismos de busca e na marca do software como uma tática de engenharia social para roubar dados de usuários que procuram software VPN corporativo. Para agravar a situação, está o abuso de plataformas confiáveis como o GitHub para hospedar os arquivos do instalador.
Especificamente, o repositório GitHub hospeda um arquivo ZIP contendo um arquivo do instalador MSI que se disfarça como software VPN legÃtimo, mas carrega arquivos DLL maliciosos durante a instalação. O objetivo final, como antes, é coletar e exfiltrar credenciais VPN usando uma variante de um ladrão de informações chamado Hyrax.
Uma caixa de diálogo de login VPN falsa, mas convincente, é exibida ao usuário para capturar as credenciais. Assim que as informações são inseridas pela vÃtima, ela recebe uma mensagem de erro e é instruÃda a baixar o cliente VPN legÃtimo desta vez. Em alguns casos, eles são redirecionados para o site VPN legÃtimo.
O malware usa a chave de registro do Windows RunOnce para configurar a persistência, de modo que seja executado automaticamente sempre após a reinicialização do sistema.
“Esta campanha apresenta caracterÃsticas consistentes com as operações de crimes cibernéticos com motivação financeira empregadas pelo Storm-2561”, disse a Microsoft. "Os componentes maliciosos são assinados digitalmente pela 'Taiyuan Lihua Near Information Technology Co., Ltd.'"
Desde então, a gigante da tecnologia retirou do ar os repositórios GitHub controlados pelo invasor e revogou o certificado legÃtimo para neutralizar a operação.
Para combater essas ameaças, as organizações e os usuários são aconselhados a implementar a autenticação multifator (MFA) em todas as contas, ter cuidado ao baixar software de sites e certificar-se de que sejam autênticos.
“A campanha redireciona os usuários que procuram software corporativo legÃtimo para arquivos ZIP maliciosos em sites controlados por invasores para implantar trojans assinados digitalmente que se disfarçam de clientes VPN confiáveis enquanto coletam credenciais VPN”, disseram as equipes Microsoft Threat Intelligence e Microsoft Defender Experts.
O fabricante do Windows, que observou a atividade em meados de janeiro de 2026, atribuiu-a ao Storm-2561, um cluster de atividades de ameaças conhecido por propagar malware por meio de envenenamento de SEO e se passar por fornecedores de software populares desde maio de 2025.
As campanhas do agente da ameaça foram documentadas pela primeira vez por Cyjax, destacando o uso de envenenamento de SEO para redirecionar usuários que procuram programas de software de empresas como SonicWall, Hanwha Vision e Pulse Secure (agora Ivanti Secure Access) no Bing para sites falsos e induzi-los a baixar instaladores MSI que implantam o carregador Bumblebee.
Uma iteração subsequente do ataque foi divulgada por Zscaler em outubro de 2025. A campanha foi observada aproveitando-se de usuários que procuravam software legÃtimo no Bing para propagar um cliente VPN Ivanti Pulse Secure trojanizado por meio de sites falsos ("ivanti-vpn[.]org") que, em última análise, roubaram credenciais VPN da máquina da vÃtima.
A Microsoft disse que a atividade destaca como os agentes de ameaças exploram a confiança nas classificações dos mecanismos de busca e na marca do software como uma tática de engenharia social para roubar dados de usuários que procuram software VPN corporativo. Para agravar a situação, está o abuso de plataformas confiáveis como o GitHub para hospedar os arquivos do instalador.
Especificamente, o repositório GitHub hospeda um arquivo ZIP contendo um arquivo do instalador MSI que se disfarça como software VPN legÃtimo, mas carrega arquivos DLL maliciosos durante a instalação. O objetivo final, como antes, é coletar e exfiltrar credenciais VPN usando uma variante de um ladrão de informações chamado Hyrax.
Uma caixa de diálogo de login VPN falsa, mas convincente, é exibida ao usuário para capturar as credenciais. Assim que as informações são inseridas pela vÃtima, ela recebe uma mensagem de erro e é instruÃda a baixar o cliente VPN legÃtimo desta vez. Em alguns casos, eles são redirecionados para o site VPN legÃtimo.
O malware usa a chave de registro do Windows RunOnce para configurar a persistência, de modo que seja executado automaticamente sempre após a reinicialização do sistema.
“Esta campanha apresenta caracterÃsticas consistentes com as operações de crimes cibernéticos com motivação financeira empregadas pelo Storm-2561”, disse a Microsoft. "Os componentes maliciosos são assinados digitalmente pela 'Taiyuan Lihua Near Information Technology Co., Ltd.'"
Desde então, a gigante da tecnologia retirou do ar os repositórios GitHub controlados pelo invasor e revogou o certificado legÃtimo para neutralizar a operação.
Para combater essas ameaças, as organizações e os usuários são aconselhados a implementar a autenticação multifator (MFA) em todas as contas, ter cuidado ao baixar software de sites e certificar-se de que sejam autênticos.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #storm2561 #espalha #clientes #vpn #trojan #por #meio #de #envenenamento #de #seo #para #roubar #credenciais
🚀 Mais conteúdos incrÃveis estão por vir, fique atento!
Postar um comentário