Cyberbende Storm-2561 kaapt VPN-gegevens via slimme omleiding
Sinds medio januari maakt een nieuwe cybercriminele groep, door Microsoft geïdentificeerd als Storm-2561, jacht op inloggegevens van zakelijke gebruikers. De aanvallers maken gebruik van vervalste VPN-clients van bekende leveranciers zoals Cisco, Fortinet, CheckPoint en Ivanti.
De werkwijze is geraffineerd: via malafide SEO-technieken verschijnen nagemaakte websites bovenaan de zoekresultaten. Gebruikers die zoeken naar een VPN-update, downloaden onbewust een kwaadaardig installatiebestand via GitHub. Tijdens de installatie worden schadelijke DLL-bestanden ingeladen die een inlogscherm tonen. Zodra de gebruiker zijn credentials invoert, worden deze direct naar de aanvallers verzonden.
Om hun sporen uit te wissen, past de bende een slimme truc toe. Na de diefstal toont de software een foutmelding en wordt de gebruiker doorverwezen naar de legitieme downloadpagina van de echte leverancier. Wanneer de gebruiker daar de echte VPN-client installeert, werkt alles naar behoren, waardoor het slachtoffer denkt dat er slechts sprake was van een kleine technische hapering.
Microsoft adviseert organisaties om strikte multi-factor authenticatie (MFA) af te dwingen en werknemers te waarschuwen geen zakelijke wachtwoorden in browsers op te slaan.
