Threats
Campanha recorre a páginas falsas de VPN para capturar credenciais. Ataques exploram pesquisas online e distribuem malware disfarçado de cliente VPN
16/03/2026
|
Um grupo de ameaça identificado como Storm-2561 está a distribuir aos clientes VPN falsos de fornecedores empresariais para roubar credenciais de acesso corporativo. A campanha foi identificada por investigadores da Microsoft. Os atacantes manipulam resultados de pesquisa através de técnicas de SEO poisoning para termos como “Pulse VPN download” ou “Pulse Secure client”. As vítimas são redirecionadas para sites falsos que imitam páginas oficiais de fabricantes como Ivanti, Cisco e Fortinet. Segundo a Microsoft, a infraestrutura utilizada nesta campanha inclui também domínios associados a outros fabricantes de soluções de segurança e rede, incluindo Sophos, SonicWall, Check Point e WatchGuard, indicando que o objetivo é atingir utilizadores de vários produtos VPN empresariais. Nos ataques observados, os sites fraudulentos direcionavam os utilizadores para um repositório GitHub que disponibilizava um ficheiro ZIP com um instalador MSI de um suposto cliente VPN. O cliente VPN falso apresenta uma interface de login aparentemente legítima, incentivando as vítimas a introduzirem as credenciais de acesso. Estes dados são posteriormente capturados e enviados para a infraestrutura controlada pelos atacantes. O malware encontra-se assinado digitalmente com um certificado legítimo pertencente à empresa Taiyuan Lihua Near Information Technology Co., Ltd. Além das credenciais, o infostealer recolhe dados de configuração VPN armazenados num ficheiro presente no diretório do software legítimo. Para reduzir suspeitas, o instalador falso apresenta uma mensagem de erro após a captura das credenciais e redireciona o utilizador para o site oficial do fornecedor para descarregar o cliente VPN legítimo. De acordo com a Microsoft, se o utilizador instalar posteriormente o software verdadeiro e a ligação VPN funcionar normalmente, é provável que atribua a falha inicial a um problema técnico e não à infeção. Em segundo plano, o malware estabelece persistência através da chave Windows RunOnce. Para mitigar o risco, a Microsoft recomenda que as organizações ativem proteção baseada na cloud no Microsoft Defender, executem soluções EDR em modo de bloqueio, implementem autenticação multifator e utilizem browsers com SmartScreen ativo. A empresa disponibilizou ainda indicadores de compromisso e orientações de threat hunting para ajudar equipas de segurança a detetar e bloquear esta campanha. |
Receba todas as novidades na sua caixa de correio!
THREATS
Ataques em 2026 exploram confiança em vez de vulnerabilidades
NEWS
Portugal acolhe hackathon da Comissão Europeia no setor da defesa
THREATS
CNCS alerta para falha crítica
NEWS
Microsoft alarga restauro no Windows 11
COMPLIANCE
Aberta consulta pública do regulamento de cibersegurança
THREATS
CISA alerta para exploração ativa de falha no Ivanti Endpoint Manager
THREATS
Campanha de phishing no Microsoft Teams instala novo malware
THREATS
Nova variante do ataque ClickFix usa Windows Terminal para contornar mecanismos de deteção
THREATS
CISA alerta para falhas Apple exploradas em ataques
THREATS
Ataques InstallFix distribuem malware via guias CLI
