Поддельные VPN в поисковой выдаче крадут учётные данные
Главная » Новости
Ландшафт киберугроз 2025: реальные атаки, тренды и практические выводыКиберугрозы становятся сложнее, а человекоуправляемые атаки остаются одним из ключевых рисков для бизнеса. В новом отчете — актуальные тренды и наиболее критичные сценарии. Ключевые инсайты обсудим на вебинаре: какие угрозы сегодня определяют ландшафт ИБ и как повысить устойчивость бизнеса. Участвуйте онлайн или смотрите в записи — она будет доступна всем зарегистрированным.→ Зарегистрироваться на вебинар
Реклама, 18+. АО «Лаборатория Касперского», ИНН 7713140469

Поддельные VPN в поисковой выдаче крадут учётные данные

Екатерина Быстрова 13 Марта 2026 - 19:44
...
Поддельные VPN в поисковой выдаче крадут учётные данные

Microsoft раскрыла детали новой кампании по краже учётных данных, в которой злоумышленники распространяют поддельные VPN-клиенты через SEO: продвигают вредоносные сайты в поисковой выдаче под видом легитимных страниц загрузки. Эту активность Microsoft отслеживает под кодовым именем Storm-2561.

Схема довольно неприятная и при этом очень житейская. Пользователь ищет в поисковике корпоративный VPN-клиент, видит сверху вроде бы знакомый результат, переходит на сайт-двойник и скачивает ZIP-архив с «установщиком».

На деле внутри оказывается троянизированный MSI-файл, который маскируется под легитимный VPN-клиент и во время установки подгружает вредоносные DLL-библиотеки.

Microsoft отдельно отмечает, что в этой кампании использовались домены вроде vpn-fortinet[.]com и ivanti-vpn[.]org, а вредоносные архивы размещались в GitHub-репозиториях, которые позже были удалены.

 

Дальше всё строится на доверии пользователя к знакомому интерфейсу. Фальшивый клиент показывает очень правдоподобное окно входа, похожее на настоящее приложение Pulse Secure, просит ввести логин и пароль, а затем отправляет эти данные на сервер злоумышленников. После этого жертве показывают сообщение об ошибке и предлагают скачать уже «настоящий» VPN-клиент. В некоторых случаях пользователя даже перенаправляют на легитимный сайт, так что заражение можно и не заметить.

Для кражи данных используется вариант инфостилера Hyrax. Он вытаскивает не только введённые учётные данные, но и сохранённую VPN-конфигурацию, включая сведения из файла connectionstore.dat. Закрепление в системе обеспечивается через ключ реестра RunOnce, чтобы вредоносный компонент запускался и после перезагрузки устройства.

По данным Microsoft, Storm-2561 активна как минимум с мая 2025 года и уже известна использованием SEO poisoning и подделкой популярных программных брендов. Компания также сообщила, что вредоносные компоненты были подписаны действительным цифровым сертификатом на имя Taiyuan Lihua Near Information Technology Co., Ltd., но этот сертификат уже отозван.

Следующая главная новость »
AM LiveРеагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Whoosh показал, в каких городах России чаще пропадал мобильный интернет
Екатерина Быстрова 28 Апреля 2026 - 14:45
Сбои программ Домашние пользователи
Whoosh показал, в каких городах России чаще пропадал мобильный интернет

Сервис аренды электросамокатов Whoosh рассказал, в каких российских городах пользователи чаще всего сталкивались со сбоями мобильного интернета. Для этого компания посмотрела на статистику поездок, которые запускались через СМС, то есть без доступа к мобильной сети.

По данным Whoosh, с 30 марта по 19 апреля число таких поездок выросло в шесть раз по сравнению с первыми тремя неделями после запуска функции.

Больше всего СМС-стартов зафиксировали в Москве, Санкт-Петербурге и Краснодаре. В компании считают, что именно в этих городах пользователи чаще сталкивались с пропажей мобильного интернета.

 

Пики пришлись на 2 и 13 апреля. В эти дни количество СМС-поездок было в 2–2,2 раза выше среднего дневного уровня.

При этом в Whoosh называют проблему ограниченной. Большинство пользователей завершали поездки уже через приложение, когда связь снова появлялась. Это может говорить о том, что отключения были точечными и недолгими.

AM LiveРеагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!
Под видом VPN и прокси россиянам всё чаще подсовывают зловреды
Новость
Под видом VPN и прокси россиянам всё чаще подсовывают зловре...
После обновления Windows 11 у пользователей пропал доступ к диску C
Новость
После обновления Windows 11 у пользователей пропал доступ к...
ИТ-компаниям пригрозили лишением аккредитации за пропуск VPN-трафика
Новость
ИТ-компаниям пригрозили лишением аккредитации за пропуск VPN...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.