在COVID-19疫情爆發之後,遠距辦公成為常態,VPN系統成為許多員工存取公司內部環境的重要管道,然而這類系統的憑證資料,也被駭客盯上,視為入侵企業組織的重要資源。
微軟近期發布部落格文章指出,他們在一月中旬看到搜尋引擎最佳化中毒(SEO poisoning)攻擊活動,駭客組織Storm-2561假借提供企業級VPN用戶端程式的名義,將搜尋這種軟體的使用者導向攻擊者控制的網站,然後下載惡意壓縮檔。一旦使用者依照指示安裝,電腦就會被植入具備數位簽章的木馬程式,這些木馬偽裝成VPN用戶端程式,並竊取相關憑證。
這些駭客操縱使用者在搜尋引擎的檢索結果,將冒牌VPN下載網頁項目排列在搜尋結果的最前面,來引誘使用者上當。值得留意的是,由於這些網頁提供下載的連結,會將使用者導向惡意GitHub儲存庫,下載ZIP檔,其內容包含MSI安裝程式,假若執行安裝,系統就會在安裝流程側載有問題的DLL檔案,並部署看似正常的VPN軟體,不過實際上,假的應用程式會竊取憑證並外傳。
對於Storm-2561的來歷,微軟指出他們從2025年5月看到相關活動,這些駭客擅長冒充知名軟體廠商,並透過搜尋引擎最佳化中毒手法接觸使用者,藉此散布惡意軟體。
