高度なサイバー犯罪活動が検索結果をハイジャックし、信頼できる VPN アプリケーションを装った悪意のあるソフトウェアを配布しています。正規の仮想プライベート ネットワーク ツールを探しているユーザーは、本物と同じように見える偽の Web サイトにたどり着きます。
Microsoft はこのキャンペーンを公開したばかりです。テクノロジー大手はこう警告するハッカーはSEOポイズニング技術を使用します検索順位を操作するため。これにより、悪意のあるサイトが検索結果の先頭、つまり疑いを持たないユーザーが最初にクリックする場所にプッシュされます。
ハッカーが検索結果を武器化
Microsoft は、サイバー犯罪者が検索エンジンのアルゴリズムを積極的に利用して詐欺的な Web サイトを宣伝していることを発見しました。攻撃者は、有名なセキュリティ ベンダーのエンタープライズ VPN ソフトウェアを探している人々を特にターゲットにしています。
このキャンペーンは、Ivanti、Cisco、Check Point、SonicWall、Fortinet、WatchGuard、および Sophos の正規の VPN クライアントを模倣します。ハッカーは、本物のベンダーのページをほぼ完璧に再現した説得力のあるレプリカ Web サイトを作成します。
説得力のあるレプリカ Web サイトを作成するこれと同じテクニックが Facebook のパスワード フィッシング詐欺にも使用されています。攻撃者が偽のログインを構築する場所ユーザーが資格情報を入力する前に違いに気づかないことを期待して、実際の Facebook サイトとまったく同じように見えるページを作成します。
これらの有害な検索結果をクリックしたユーザーは、なりすましサイトにリダイレクトされます。偽のページには、正規のように見えるダウンロード リンクがホストされています。ただし、ダウンロードは実際には、攻撃者が制御する悪意のある GitHub リポジトリを指しています。
リポジトリには、Microsoft Windows インストーラー (MSI) ファイルを含む ZIP ファイルが含まれています。このインストーラーは、セットアップ プロセス中に悪意のあるペイロードを実行します。即座に疑いを抱かせることなく、有害なダイナミック リンク ライブラリ (DLL) ファイルを被害者のシステムにサイドロードします。
詐欺的な VPN ソフトウェアは実際の VPN サービスを提供しません。代わりに、資格情報ハーベスターとして機能します。このマルウェアは、被害者がパスワードと VPN 設定の詳細を入力するとすぐにログイン認証情報を取得します。
このプログラムは、本物の VPN クライアント インターフェイスによく似たログイン ウィンドウを表示します。この視覚的な欺瞞により、ユーザーは正規のソフトウェアを操作していると信じ込まされます。一方、マルウェアは、攻撃者のコマンドアンドコントロール サーバーに認証情報を静かに漏洩します。
永続的なアクセスを保証するために、マルウェアはインストール中にバックドアを確立します。 Windows RunOnce レジストリ キーを変更し、感染したデバイスが再起動するたびに自動的に実行される悪意のあるプログラムを追加します。
認証情報の窃取に成功すると、偽のインストーラーは現実的なエラー メッセージを表示します。このメッセージは、技術的な問題によりインストールが失敗したことをユーザーに通知します。次に、ベンダーの公式 Web サイトから正規の VPN クライアントをダウンロードするように指示します。
「ユーザーは、初期インストールの失敗の原因がマルウェアではなく、技術的な問題にあると考えている可能性が高い」と Microsoft は最近のセキュリティ ブログ投稿で説明しました。 「ユーザーが後で正規の VPN ソフトウェアをインストールして使用することに成功し、接続が予想どおりに失敗しなければ、エンド ユーザーに侵害の兆候はありません。」
この巧妙なソーシャル エンジニアリング戦術により、攻撃は完全に隠蔽されます。被害者は次に本物の VPN クライアントをインストールしますが、これは完全に機能します。彼らは、マルウェアがすでにシステムに侵入し、資格情報を盗んでいるとは決して思っていません。
キャンペーンの背後にある攻撃者
Microsoft Threat Intelligence と Microsoft Defender Expert は、これらの攻撃が Storm-2561 であることを追跡しました。この脅威アクターは 2025 年 5 月に活動を開始し、人気のあるソフトウェア ベンダーになりすますことで評判を築きました。
Storm-2561 は、リモート作業のために VPN アクセスを必要とする企業ユーザーを特にターゲットにしています。企業の資格情報は、攻撃者にビジネス ネットワークへの貴重なエントリ ポイントを提供します。犯罪者がこれらの認証情報を取得すると、企業の機密リソースにアクセスしたり、機密データを盗んだり、ランサムウェアを展開したりする可能性があります。
SEO ポイズニングの使用により、このキャンペーンは特に危険になります。ほとんどのユーザーは、検索エンジンが正当な結果を提供することを信頼しています。特によく知られたソフトウェアを検索する場合、上位のリンクを精査することはほとんどありません。
組織は従業員にこれらのリスクについて教育する必要があります。ダウンロード ソースを常に注意深く確認してください。検索結果をクリックするのではなく、ベンダーの Web サイトに直接移動します。すべての VPN 接続で多要素認証を有効にして、追加のセキュリティ層を追加します。
Storm-2561 の戦術は、サイバー犯罪者がどのように手口を進化させ続けているかを示しています。彼らは、ユーザーが検索エンジンやおなじみのブランド名に対して抱いている信頼を悪用します。警戒を怠らず、予期せぬインストール エラーに疑問を呈するかどうかが、危機一髪と重大なセキュリティ侵害の違いとなる可能性があります。