Security

Storm-2561 VPN SEO poisoning ruba credenziali

3 min di lettura

Riepilogo

Microsoft ha rivelato una campagna di Storm-2561 che usa SEO poisoning e falsi siti di download per distribuire installer VPN trojanizzati, sfruttando anche repository GitHub e certificati di firma del codice apparentemente legittimi. La minaccia è particolarmente rilevante perché colpisce utenti e aziende in cerca di software VPN affidabile, rubando credenziali e configurazioni sensibili prima che le difese tradizionali riconoscano l’attacco.

Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione

Microsoft Threat Intelligence ha descritto in dettaglio una nuova campagna di Storm-2561 che dovrebbe essere nel radar di ogni team di sicurezza. Sfruttando il posizionamento nei motori di ricerca, siti web falsi con branding dei vendor e persino certificati validi per la firma del codice, gli attaccanti stanno prendendo di mira utenti alla ricerca di software VPN enterprise affidabile e rubano credenziali prima che molte organizzazioni si rendano conto che qualcosa è andato storto.

Cosa c’è di nuovo

Storm-2561 sta distribuendo installer VPN trojanizzati attraverso una catena di attacco convincente:

  • Gli utenti cercano software VPN legittimo come i client Pulse Secure o Fortinet.
  • Siti malevoli sottoposti a SEO poisoning compaiono nei risultati di ricerca e imitano pagine di download di vendor affidabili.
  • Le vittime vengono reindirizzate a file ZIP ospitati su repository GitHub controllati dagli attaccanti.
  • Il file ZIP contiene un installer MSI malevolo e DLL che imitano una distribuzione VPN reale.
  • L’installer rilascia Pulse.exe ed esegue il side-loading di DLL malevole, tra cui dwmapi.dll e inspector.dll.
  • inspector.dll è identificato come una variante dell’infostealer Hyrax, che estrae credenziali VPN e dati di configurazione.

Microsoft ha inoltre osservato che il malware era firmato con un certificato legittimo di “Taiyuan Lihua Near Information Technology Co., Ltd.”. Quel certificato è stato successivamente revocato, ma l’uso di una firma valida ha ridotto i sospetti degli utenti e potrebbe aver contribuito a eludere alcune difese.

Comportamento dell’attacco da conoscere

Il falso client VPN presenta un’interfaccia di accesso realistica per acquisire direttamente le credenziali dell’utente. Dopo l’invio:

  • Viene mostrato un falso errore di installazione o di accesso
  • All’utente viene richiesto di scaricare il client VPN reale
  • In alcuni casi, il browser viene aperto sul sito legittimo del vendor

Questo reindirizzamento post-compromissione è particolarmente efficace perché gli utenti potrebbero successivamente installare con successo il software reale senza mai sospettare che le loro credenziali siano già state rubate.

La campagna stabilisce inoltre la persistenza tramite la chiave di registro Windows RunOnce ed esfiltra i dati rubati verso infrastrutture controllate dagli attaccanti.

Impatto sugli amministratori IT

Per i team IT e di sicurezza, questa campagna evidenzia un rischio crescente: gli utenti non devono più aprire allegati di phishing nelle email per essere compromessi. Una semplice ricerca di software aziendale può portare al furto di credenziali.

Le organizzazioni che dipendono dall’accesso remoto dovrebbero essere particolarmente preoccupate, perché credenziali VPN rubate possono consentire accessi non autorizzati, movimento laterale e attacchi successivi. L’uso di branding software contraffatto e malware firmato aumenta inoltre la probabilità che gli utenti finali si fidino dell’installer.

Azioni consigliate

Gli amministratori dovrebbero adottare le seguenti misure:

  • Assicurarsi che la protezione cloud-delivered di Microsoft Defender Antivirus sia abilitata
  • Eseguire EDR in block mode dove supportato
  • Cercare installer sospetti correlati a VPN, side-loading di DLL e persistenza tramite RunOnce
  • Esaminare le connessioni in uscita verso indicatori noti e download sospetti ospitati su GitHub
  • Informare gli utenti di scaricare software VPN solo da portali aziendali approvati o da fonti del vendor verificate
  • Reimpostare le credenziali e indagare sui dispositivi se gli utenti segnalano installazioni VPN non riuscite seguite da una reinstallazione riuscita

Questo è un forte promemoria del fatto che i risultati di ricerca possono far parte della superficie di attacco e che i soli segnali di affidabilità del software non sono più sufficienti.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Microsoft Threat Intelligence and Microsoft Defender Experts
SecurityMicrosoft Defendercredential theftSEO poisoningVPN malware

Articoli correlati

Security

Compromissione supply chain Trivy: guida Defender

Microsoft ha pubblicato linee guida per il rilevamento, l’indagine e la mitigazione della compromissione della supply chain di Trivy del marzo 2026, che ha interessato il binario Trivy e le GitHub Actions correlate. L’incidente è rilevante perché ha trasformato uno strumento di sicurezza CI/CD affidabile in un mezzo per rubare credenziali da pipeline di build, ambienti cloud e sistemi di sviluppo, continuando però a sembrare operativo normalmente.

Security

{{Governance degli AI agent: allineare gli intenti}}

{{Microsoft delinea un modello di governance per gli AI agent che allinea l’intento dell’utente, dello sviluppatore, basato sul ruolo e dell’organizzazione. Il framework aiuta le aziende a mantenere gli agent utili, sicuri e conformi definendo confini comportamentali e un chiaro ordine di precedenza quando sorgono conflitti.}}

Security

Microsoft Defender predictive shielding ferma ransomware GPO

Microsoft ha descritto un caso reale di ransomware in cui il predictive shielding di Defender ha rilevato l’abuso dannoso di Group Policy Object prima dell’inizio della crittografia. Rafforzando la propagazione dei GPO e interrompendo gli account compromessi, Defender ha bloccato circa il 97% dei tentativi di crittografia e ha impedito che qualsiasi dispositivo venisse cifrato tramite il percorso di distribuzione GPO.

Security

Sicurezza end-to-end per l’AI agentica con Microsoft

Microsoft ha presentato al RSAC 2026 una strategia di sicurezza end-to-end per l’AI agentica, annunciando la disponibilità generale di Agent 365 dal 1° maggio come piattaforma di controllo per osservare, proteggere e governare gli agenti AI su larga scala. La novità conta perché, insieme a strumenti come Security Dashboard for AI ed Entra Internet Access Shadow AI Detection, offre alle aziende maggiore visibilità sui rischi, aiuta a limitare l’accesso e la condivisione eccessiva dei dati e rafforza la difesa contro minacce AI emergenti.

Security

Microsoft Open Source CTI-REALM per AI Detection

Microsoft has open-sourced CTI-REALM, a new benchmark designed to test whether AI agents can perform real detection engineering work from cyber threat intelligence reports, not just answer cybersecurity questions. It matters because it evaluates end-to-end operational tasks across Linux, Azure Kubernetes Service, and Azure cloud environments, giving security teams a more realistic way to measure how useful AI may be for SOC and detection workflows.

Security

Microsoft Zero Trust for AI: workshop e architettura

Microsoft ha presentato Zero Trust for AI, una guida che estende i principi di Zero Trust agli ambienti AI per aiutare le aziende a proteggere modelli, agenti, dati e decisioni automatizzate. La novità più rilevante è l’aggiunta di un pilastro dedicato all’AI nel Zero Trust Workshop, con 700 controlli di sicurezza, 116 gruppi logici e 33 swim lane funzionali: un aggiornamento importante perché offre ai team IT e sicurezza un framework pratico per valutare i rischi dell’AI e applicare controlli coerenti su processi e tecnologie.