Derrière des téléchargements frauduleux imitant les pages de fournisseurs VPN comme Ivanti, Fortinet ou Cisco se cache un malware capable de voler les identifiants professionnels… avant de rediriger les victimes vers le vrai logiciel, ni vu ni connu.
Microsoft vient d’alerter sur une campagne malveillante détournant les recherches en ligne pour piéger le téléchargement de clients VPN d’entreprise. En apparaissant en tête des résultats pour des requêtes liées à ces logiciels, des sites frauduleux imitant ceux de fournisseurs comme Ivanti, Fortinet ou Cisco diffusent de faux installateurs capables de récupérer les identifiants saisis par les victimes. L’opération, attribuée à un acteur suivi sous le nom de Storm-2561, cible des utilisateurs et utilisatrices cherchant à se connecter au réseau de leur organisation.
Un téléchargement VPN piégé qui ne laisse rien paraître
La campagne identifiée par Microsoft repose sur une manipulation des résultats de recherche, une technique connue sous le nom de SEO poisoning. Les attaquants parviennent ainsi à faire remonter leurs sites frauduleux en tête des résultats pour des requêtes liées au téléchargement de clients VPN professionnels.
Les internautes qui cliquent sur ces liens sont redirigés vers des pages imitant les sites officiels de plusieurs fournisseurs largement utilisés dans les entreprises, dont Ivanti, Fortinet, Cisco, SonicWall, Check Point, WatchGuard ou Sophos. Le téléchargement renvoie vers un dépôt GitHub contrôlé par les attaquants, depuis lequel est récupéré un installeur Windows se faisant passer pour un client VPN légitime.
Une fois exécuté, le programme déploie plusieurs composants malveillants sur le système, dont une variante de l’infostealer Hyrax. L’application affiche alors une interface de connexion imitant celle du client VPN que les victimes pensent avoir installé et les invite à saisir leurs identifiants professionnels, aussitôt interceptés puis transmis à l’infrastructure des attaquants.
Le logiciel signale ensuite un échec d’installation et invite à télécharger le client officiel sur le site du fournisseur. Dans certains cas, la page légitime est même ouverte automatiquement dans le navigateur afin de parfaire l’illusion, l’incident initial pouvant alors facilement être interprété comme un banal problème technique.
Comment limiter les risques face à ce type de campagne
Pour réduire la surface d’exposition liée à ce type de campagne, fournissez directement aux équipes les liens officiels vers les outils utilisés en interne ou passez par un portail dédié à l’installation des logiciels afin d’éviter les recherches hasardeuses sur le web.
Imposer l’authentification multifacteur sur les comptes professionnels permet aussi de contenir le risque si des identifiants venaient malgré tout à être compromis. Maintenez les solutions de sécurité des postes de travail à jour, antivirus ou EDR, pour bloquer l’accès aux sites malveillants ou de signaler les téléchargements suspects avant leur exécution.
Évitez également d’enregistrer des identifiants professionnels dans le navigateur et privilégiez un gestionnaire de mots de passe dédié. Les infostealers comme Hyrax savent récupérer les mots de passe stockés localement par Chrome, Edge ou Firefox, ce qui peut ensuite leur ouvrir l’accès à d’autres comptes ou ressources internes.
Source : Microsoft
Le SEO poisoning consiste à manipuler le référencement (ou à acheter des emplacements publicitaires) pour faire apparaître des pages frauduleuses en tête des résultats lors de recherches populaires. L’utilisateur clique alors sur un lien qui semble légitime (marque connue, intitulé « download », etc.) mais qui mène vers un site cloné. Ces pages imitent l’original pour inspirer confiance et déclencher le téléchargement d’un installeur piégé. Comme l’attaque exploite un comportement courant (chercher le bon lien), elle contourne facilement la méfiance, surtout en contexte professionnel. Le risque augmente quand les équipes n’ont pas de source officielle unique (portail interne, dépôt validé) pour récupérer les outils.
C’est quoi un « infostealer » comme Hyrax, et quelles données peut-il voler sur un PC Windows ?Un infostealer est un malware spécialisé dans la collecte discrète d’informations exploitables : identifiants, cookies de session, historiques, données de formulaires et parfois portefeuilles crypto ou fichiers ciblés. Il peut intercepter des identifiants saisis dans une fausse fenêtre de connexion, mais aussi récupérer des secrets déjà stockés localement (par exemple dans certains navigateurs). Ces données sont ensuite exfiltrées vers une infrastructure contrôlée par l’attaquant, qui peut les utiliser pour se connecter aux services de l’entreprise. L’intérêt pour les attaquants est la rapidité : voler des accès donne souvent un chemin direct vers messagerie, VPN, intranet ou outils cloud. Même si l’installation « échoue » en apparence, le vol peut déjà avoir eu lieu.
Pourquoi l’authentification multifacteur (MFA) limite-t-elle l’impact d’un vol d’identifiants VPN ?La MFA ajoute une seconde preuve d’identité en plus du mot de passe : application d’authentification, clé de sécurité, validation push, code temporaire, etc. Si un mot de passe est volé, il ne suffit plus à lui seul pour établir une connexion au VPN ou à un compte professionnel. Cela ne rend pas l’attaque impossible (phishing avancé, fatigue MFA, vol de session), mais augmente fortement la difficulté et réduit les compromissions « instantanées ». Pour être efficace, la MFA doit être imposée partout où c’est possible et accompagnée de politiques d’accès (appareils conformes, géolocalisation, détection d’anomalies). C’est une mesure de confinement : elle ne remplace pas la prévention du téléchargement piégé, mais elle limite la casse.
