Falske enterprise VPN-nettsteder brukt til å stjele VPN-legitimasjon. ClickFix-kampanjer sprer MacSync macOS-infostealer via falske AI-verktøyinstallatører.
Falske enterprise VPN-nettsteder brukt til å stjele VPN-legitimasjon
En trusselaktør identifisert som Storm-2561 distribuerer falske nedlastinger av populære enterprise VPN-klienter for å stjele VPN-legitimasjon fra brukere. Angriperne bruker SEO-forgiftning for å manipulere søkeresultater slik at brukere som søker etter VPN-klienter blir sendt til falske nettsteder som etterligner legitime leverandører som Ivanti, Cisco og Fortinet.
Den falske klienten viser et troverdig påloggingsvindu der brukeren blir bedt å oppgi VPN-brukernavn og passord. Disse opplysningene sendes så til den ondsinnede aktørens infrastruktur. I tillegg kan skadevaren stjele lokal VPN-konfigurasjon som er lagret i "connectionstore.dat" filen.
For å skjule angrepet viser installasjonsprogrammet en feilmelding etter tyveriet og viser frem instruksjoner for å laste ned den legitime VPN-klienten. Dermed kan kompromitteringen bli misforstått som en teknisk feil og gå ubemerket.
ClickFix-kampanjer sprer MacSync macOS-infostealer via falske AI-verktøyinstallatører
Tre separate ClickFix-kampanjer er avdekket som distribusjonsvektor for en macOS-informasjonstyver kalt MacSync. I motsetning til tradisjonelle utnyttelsesbaserte angrep er metoden helt avhengig av brukerinteraksjon – vanligvis i form av kopiering og kjøring av kommandoer – noe som gjør den særlig effektiv mot brukere som ikke er klar over konsekvensene av å kjøre ukjente og obfuskerte terminalkommandoer.
Det er foreløpig ukjent om kampanjene er utført av samme trusselaktør. Tre distinkte kampanjer er dokumentert:
November 2025: En kampanje som brukte OpenAI Atlas-nettleseren som lokkemat, distribuert via sponsede søkeresultater på Google, ledet brukere til en falsk Google Sites-URL med en nedlastingsknapp. Ved klikk ble det vist instruksjoner om å åpne Terminal og lime inn en kommando, som lastet ned et shellscript. Shellscriptet ba brukeren om systempassordet og kjørte deretter MacSync med brukernivå-tillatelser.
Desember 2025: En malvertising-kampanje som utnyttet sponsede lenker knyttet til søk som «how to clean up your Mac» på Google, ledet brukere til delte samtaler på det legitime OpenAI ChatGPT-nettstedet for å gi inntrykk av at lenkene var trygge. ChatGPT-samtalene omdirigerte ofrene til ondartede GitHub-inspirerte landingssider som lurte brukere til å kjøre ondartede kommandoer i Terminal.
Februar 2026: En kampanje rettet mot Belgia, India og deler av Nord- og Sør-Amerika, som distribuerte en ny variant av MacSync via ClickFix-lokkemat. Den nyeste iterasjonen støtter dynamiske AppleScript-nyttelaster og kjøring i minnet for å omgå statisk analyse, adferdsdetektion og komplisere hendelseshåndtering.
Shellscriptet som kjøres etter terminalkommandoen, kontakter en hardkodet server og henter den ondartede AppleScript-nyttelasten, og sletter samtidig spor etter datatyveriet. Den ondartede programvaren er utstyrt for å høste et bredt spekter av data fra kompromitterte enheter, inkludert legitimasjonsdata, filer, nøkkelringdatabaser og seed-fraser fra kryptovaluta-lommebøker.
Funnene indikerer at trusselaktørene tilpasser metoden for å holde seg ett skritt foran sikkerhetsverktøy, og utnytter tilliten brukere har til ChatGPT-samtaler for å overbevise dem om å kjøre ondartede kommandoer. Den nyeste varianten representerer sannsynligvis en tilpasning fra skadevare-utvikleren for å opprettholde effektiviteten mot oppdaterte OS- og programvaresikkerhetstiltak.
I de siste månedene har ClickFix-kampanjer brukt legitime plattformer som Cloudflare Pages, Squarespace og Tencent EdgeOne til å hoste falske installasjonsanvisninger for utviklerverktøy som Anthropics Claude Code. URL-ene distribueres via ondsinnte søkemotorannonser.
Brukere anbefales å utvise forsiktighet ved nedlasting av programvare, opprettholde en null-tillit-tankegang, bruke anerkjent sikkerhetsprogramvare og holde seg oppdatert på de nyeste phishing- og ClickFix-taktikkene som benyttes av ondsinnede aktører. Viktig å merke seg er at selv klarerte nettsteder kan kompromitteres og brukes mot intetanende besøkende.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.