Security

Storm-2561: SEO-Poisoning mit gefälschten VPN-Installern

3 Min. Lesezeit

Zusammenfassung

Microsoft warnt vor der Kampagne „Storm-2561“, bei der Angreifer per SEO-Poisoning gefälschte Download-Seiten für bekannte Enterprise-VPN-Clients wie Pulse Secure oder Fortinet platzieren und darüber trojanisierte Installer verbreiten. Besonders brisant ist, dass die Malware über GitHub ausgeliefert, per DLL-Sideloading aktiviert und sogar mit einem gültigen Code-Signing-Zertifikat signiert wurde – so können VPN-Zugangsdaten und Konfigurationsdaten unbemerkt gestohlen werden. Das ist wichtig, weil betroffene Unternehmen ihre Remote-Zugänge gefährden und klassische Vertrauenssignale wie Suchergebnisse, Branding und Signaturen hier gezielt missbraucht werden.

Audio-Zusammenfassung

0:00--:--
Brauchen Sie Hilfe mit Security?Mit einem Experten sprechen

Einführung

Microsoft Threat Intelligence hat eine neue Storm-2561-Kampagne beschrieben, die jedes Sicherheitsteam im Blick haben sollte. Durch den Missbrauch von Suchmaschinen-Rankings, gefälschten Websites im Branding von Herstellern und sogar gültigen Code-Signing-Zertifikaten nehmen die Angreifer Nutzer ins Visier, die nach vertrauenswürdiger Enterprise-VPN-Software suchen, und stehlen Anmeldeinformationen, bevor viele Organisationen überhaupt bemerken, dass etwas schiefgelaufen ist.

Was ist neu

Storm-2561 verteilt trojanisierte VPN-Installer über eine überzeugende Angriffskette:

  • Nutzer suchen nach legitimer VPN-Software wie Pulse Secure oder Fortinet-Clients.
  • Bösartige, durch SEO Poisoning manipulierte Seiten erscheinen in den Suchergebnissen und imitieren vertrauenswürdige Downloadseiten der Hersteller.
  • Opfer werden zu ZIP-Dateien umgeleitet, die in von Angreifern kontrollierten GitHub-Repositories gehostet werden.
  • Die ZIP-Datei enthält einen bösartigen MSI-Installer und DLLs, die eine echte VPN-Bereitstellung nachahmen.
  • Der Installer legt Pulse.exe ab und lädt bösartige DLLs per Side-Loading, darunter dwmapi.dll und inspector.dll.
  • inspector.dll wurde als Variante des Hyrax Infostealer identifiziert, die VPN-Anmeldeinformationen und Konfigurationsdaten extrahiert.

Microsoft merkte außerdem an, dass die Malware mit einem legitimen Zertifikat von „Taiyuan Lihua Near Information Technology Co., Ltd.“ signiert war. Dieses Zertifikat wurde inzwischen widerrufen, doch die Verwendung einer gültigen Signatur verringerte das Misstrauen der Nutzer und half möglicherweise dabei, einige Schutzmechanismen zu umgehen.

Bekanntes Angriffsverhalten

Der gefälschte VPN-Client präsentiert eine realistisch wirkende Anmeldeoberfläche, um Anmeldeinformationen direkt vom Nutzer zu erfassen. Nach der Eingabe:

  • Wird eine gefälschte Installations- oder Anmeldefehlermeldung angezeigt
  • Wird der Nutzer aufgefordert, den echten VPN-Client herunterzuladen
  • Wird in einigen Fällen der Browser zur legitimen Website des Herstellers geöffnet

Diese Umleitung nach der Kompromittierung ist besonders effektiv, weil Nutzer die echte Software später möglicherweise erfolgreich installieren und nie vermuten, dass ihre Anmeldeinformationen bereits gestohlen wurden.

Die Kampagne etabliert außerdem Persistenz über den Windows-Registrierungsschlüssel RunOnce und exfiltriert die gestohlenen Daten an eine von den Angreifern kontrollierte Infrastruktur.

Auswirkungen auf IT-Administratoren

Für IT- und Sicherheitsteams unterstreicht diese Kampagne ein wachsendes Risiko: Nutzer müssen keine Phishing-E-Mail-Anhänge mehr öffnen, um kompromittiert zu werden. Schon die einfache Suche nach Business-Software kann zum Diebstahl von Anmeldeinformationen führen.

Organisationen mit Abhängigkeiten beim Fernzugriff sollten besonders besorgt sein, da gestohlene VPN-Anmeldeinformationen unbefugten Zugriff, Lateral Movement und nachgelagerte Angriffe ermöglichen können. Die Verwendung gefälschter Software-Branding-Elemente und signierter Malware erhöht zudem die Wahrscheinlichkeit, dass Endnutzer dem Installer vertrauen.

Empfohlene Maßnahmen

Administratoren sollten die folgenden Schritte ergreifen:

  • Sicherstellen, dass der cloudbasierte Schutz von Microsoft Defender Antivirus aktiviert ist
  • EDR, wo unterstützt, im Block mode ausführen
  • Nach verdächtigen VPN-bezogenen Installern, DLL Side-Loading und RunOnce-Persistenz suchen
  • Ausgehende Verbindungen zu bekannten Indikatoren und verdächtigen, auf GitHub gehosteten Downloads überprüfen
  • Nutzer dazu anleiten, VPN-Software nur aus genehmigten Unternehmensportalen oder von verifizierten Herstellerquellen herunterzuladen
  • Anmeldeinformationen zurücksetzen und Geräte untersuchen, wenn Nutzer von fehlgeschlagenen VPN-Installationen berichten, denen eine erfolgreiche Neuinstallation folgte

Dies ist eine deutliche Erinnerung daran, dass Suchergebnisse Teil der Angriffsfläche sein können und Software-Vertrauenssignale allein nicht mehr ausreichen.

Brauchen Sie Hilfe mit Security?

Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.

Mit einem Experten sprechen

Bleiben Sie über Microsoft-Technologien auf dem Laufenden

Originalartikel von Microsoft Threat Intelligence and Microsoft Defender Experts lesen
SecurityMicrosoft Defendercredential theftSEO poisoningVPN malware

Verwandte Beiträge

Security

Trivy-Lieferkettenkompromittierung: Defender-Hinweise

Microsoft hat Hinweise zur Erkennung, Untersuchung und Eindämmung der Trivy-Lieferkettenkompromittierung vom März 2026 veröffentlicht, die die Trivy-Binärdatei und zugehörige GitHub Actions betraf. Der Vorfall ist relevant, weil vertrauenswürdige CI/CD-Sicherheitstools missbraucht wurden, um Anmeldeinformationen aus Build-Pipelines, Cloud-Umgebungen und Entwicklersystemen zu stehlen, während sie scheinbar normal ausgeführt wurden.

Security

KI-Agenten-Governance: Intent sicher ausrichten

Microsoft beschreibt ein Governance-Modell für KI-Agenten, das Benutzer-, Entwickler-, rollenbasierte und organisatorische Intent in Einklang bringt. Das Framework hilft Unternehmen, Agenten nützlich, sicher und compliant zu halten, indem es Verhaltensgrenzen und eine klare Rangfolge bei Konflikten definiert.

Security

Microsoft Defender Predictive Shielding stoppt GPO-Ransomware

Microsoft hat einen realen Ransomware-Fall beschrieben, in dem Defenders Predictive Shielding den Missbrauch von Group Policy Objects (GPOs) erkannte, bevor die Verschlüsselung begann. Durch das Härten der GPO-Verteilung und das Unterbrechen kompromittierter Konten blockierte Defender rund 97 % der versuchten Verschlüsselungsaktivität und verhinderte, dass Geräte über den GPO-Verteilungsweg verschlüsselt wurden.

Security

Agentic AI Sicherheit: Microsofts RSAC 2026 Neuerungen

Microsoft hat auf der RSAC 2026 neue Sicherheitsfunktionen für agentische KI vorgestellt, darunter die allgemeine Verfügbarkeit von Agent 365 ab dem 1. Mai als zentrale Steuerungsebene für Überwachung, Schutz und Governance von AI-Agents. Ergänzt wird dies durch neue Transparenz- und Erkennungstools wie das Security Dashboard for AI und Entra Internet Access Shadow AI Detection, was für Unternehmen wichtig ist, weil der breite Einsatz von AI-Agents neue Risiken bei Datenzugriff, Identitäten und unkontrollierter AI-Nutzung schafft.

Security

CTI-REALM Open Source: Benchmark für AI Detection

Microsoft hat mit CTI-REALM einen Open-Source-Benchmark vorgestellt, der prüft, ob AI-Agents im Security-Betrieb tatsächlich verwertbare Detection-Regeln aus Threat-Intelligence-Berichten ableiten und validieren können. Das ist wichtig, weil Security-Teams damit KI-Modelle nicht nur nach theoretischem Cybersecurity-Wissen, sondern nach ihrem praktischen Nutzen für SOC- und Detection-Engineering-Workflows in realistischen Umgebungen wie Linux, AKS und Azure bewerten können.

Security

Zero Trust for AI: Microsoft Workshop & Architektur

Microsoft erweitert seinen Zero-Trust-Ansatz gezielt auf KI-Umgebungen und führt dafür mit „Zero Trust for AI“ eine neue Leitlinie sowie eine eigene AI-Säule im Zero Trust Workshop ein. Das ist wichtig, weil Unternehmen damit einen strukturierten Rahmen erhalten, um Risiken wie Prompt Injection, Data Poisoning und übermäßige Zugriffe auf Modelle, Prompts und Datenquellen systematisch zu bewerten und mit konkreten Sicherheitskontrollen abzusichern.