ЭКСКЛЮЗИВ: ПОИСК VPN ПРИВЕЛ К МАСШТАБНОЙ УТЕЧКЕ ДАННЫХ КОРПОРАТИВНЫХ СЕТЕЙ
Попытка сотрудников усилить кибербезопасность обернулась катастрофой. Расследование показывает: поиск легального VPN-клиента через обычные поисковые системы привел к массовому заражению вредоносным ПО, похищающим учетные данные. Это не фишинг, а сложная многоуровневая атака с использованием 0-day уязвимостей в доверии пользователей.
Злоумышленники применили SEO-отравление, подняв в топ выдачи фиктивные сайты известных вендоров. На идеально сфабрикованных страницах с логотипами и описаниями размещалась кнопка загрузки, перенаправляющая на GitHub. Там ждался подписанный легитимным, но позже отозванным сертификатом ZIP-архив с установщиком. В ходе инсталляции side-loading методом загружались вредоносные DLL, включая loader dwmapi.dll, который запускал шелл-код и внедрял инфостилер Hyrax.
"Это новый уровень криминальной изобретательности, — заявил наш источник в группе расследования. — Они атаковали саму цепочку доверия: поисковик, узнаваемый бренд, цифровая подпись, легитимная платформа вроде GitHub. Установка выглядела штатной, а устройство уже было скомпрометировано".
Каждой компании, использующей удаленный доступ, следует бить тревогу. Инцидент демонстрирует: даже крипто и безопасность блокчейна не спасут, если заражение происходит на конечной точке доступа в сеть. Требуется тотальный аудит всех источников загрузки ПО.
Ожидайте волну аналогичных эксплойтов под другие категории софта. Пока доверие к поисковым системам и репозиториям остается слепым, угроза будет нарастать.
Ваша бдительность — последний рубеж обороны.
