🔴 Фейковые VPN-клиенты крадут доступы к корпоративным сетям Привет, сейчас активно крутится новая схема от группы Storm-2561, и она довольно опасная. Хакеры подделывают сайты Ivanti, Cisco, Fortinet и других вендоров VPN, чтобы подсунуть пользователю «клиент». Делают это через SEO poisoning, то есть продвигают фальшивые сайты в поиске. Ты просто гуглишь «Pulse VPN download» и попадаешь не туда. ❕ Визуально всё выглядит максимально легитимно. Те же логотипы, тот же UI, даже ссылки похожи. Дальше тебя ведут на GitHub-репозиторий, где лежит ZIP с MSI-установщиком. После запуска в системе появляется Pulse.exe, плюс подтягиваются DLL вроде dwmapi.dll и сам инфостилер Hyrax. Причём файл подписан реальным, хоть и отозванным сертификатом, что добавляет доверия. 👨‍💻Самый неприятный момент в UX атаки. Тебе показывают «нормальный» интерфейс VPN-клиента и просят ввести логин и пароль. Всё, что ты вводишь, сразу улетает атакующим. Плюс малварь вытаскивает конфиги из connectionsstore.dat, где могут лежать реальные параметры подключения. После этого тебе показывают ошибку установки и перекидывают на настоящий сайт, чтобы ты скачал уже легитимный клиент и ничего не заподозрил. 🔑 По сути, это идеальная social engineering + supply chain имитация. Ты думаешь, что просто скачал VPN, немного не повезло с установкой, и идёшь дальше работать. А доступ к корпоративной сети уже уехал куда надо. Я думаю, такие атаки будут только масштабироваться, потому что они бьют не в софт, а в поведение пользователя. P. S Я бы всегда проверял домен перед скачиванием любого корпоративного клиента. Особенно если это VPN, SSH-клиент или что-то связанное с доступом в инфраструктуру. #Phishing #VPN #InfoStealer 👍 Белый хакер