Derrière des téléchargements frauduleux imitant les pages de fournisseurs VPN comme Ivanti, Fortinet ou Cisco se cache un malware capable de voler les identifiants professionnels… avant de rediriger les victimes vers le vrai logiciel, ni vu ni connu.
Microsoft vient d’alerter sur une campagne malveillante détournant les recherches en ligne pour piéger le téléchargement de clients VPN d’entreprise. En apparaissant en tête des résultats pour des requêtes liées à ces logiciels, des sites frauduleux imitant ceux de fournisseurs comme Ivanti, Fortinet ou Cisco diffusent de faux installateurs capables de récupérer les identifiants saisis par les victimes. L’opération, attribuée à un acteur suivi sous le nom de Storm-2561, cible des utilisateurs et utilisatrices cherchant à se connecter au réseau de leur organisation.
Un téléchargement VPN piégé qui ne laisse rien paraître
La campagne identifiée par Microsoft repose sur une manipulation des résultats de recherche, une technique connue sous le nom de SEO poisoning. Les attaquants parviennent ainsi à faire remonter leurs sites frauduleux en tête des résultats pour des requêtes liées au téléchargement de clients VPN professionnels.
Les internautes qui cliquent sur ces liens sont redirigés vers des pages imitant les sites officiels de plusieurs fournisseurs largement utilisés dans les entreprises, dont Ivanti, Fortinet, Cisco, SonicWall, Check Point, WatchGuard ou Sophos. Le téléchargement renvoie vers un dépôt GitHub contrôlé par les attaquants, depuis lequel est récupéré un installeur Windows se faisant passer pour un client VPN légitime.
Une fois exécuté, le programme déploie plusieurs composants malveillants sur le système, dont une variante de l’infostealer Hyrax. L’application affiche alors une interface de connexion imitant celle du client VPN que les victimes pensent avoir installé et les invite à saisir leurs identifiants professionnels, aussitôt interceptés puis transmis à l’infrastructure des attaquants.
Le logiciel signale ensuite un échec d’installation et invite à télécharger le client officiel sur le site du fournisseur. Dans certains cas, la page légitime est même ouverte automatiquement dans le navigateur afin de parfaire l’illusion, l’incident initial pouvant alors facilement être interprété comme un banal problème technique.
Comment limiter les risques face à ce type de campagne
Pour réduire la surface d’exposition liée à ce type de campagne, fournissez directement aux équipes les liens officiels vers les outils utilisés en interne ou passez par un portail dédié à l’installation des logiciels afin d’éviter les recherches hasardeuses sur le web.
Imposer l’authentification multifacteur sur les comptes professionnels permet aussi de contenir le risque si des identifiants venaient malgré tout à être compromis. Maintenez les solutions de sécurité des postes de travail à jour, antivirus ou EDR, pour bloquer l’accès aux sites malveillants ou de signaler les téléchargements suspects avant leur exécution.
Évitez également d’enregistrer des identifiants professionnels dans le navigateur et privilégiez un gestionnaire de mots de passe dédié. Les infostealers comme Hyrax savent récupérer les mots de passe stockés localement par Chrome, Edge ou Firefox, ce qui peut ensuite leur ouvrir l’accès à d’autres comptes ou ressources internes.
Source : Microsoft
