A metà gennaio i ricercatori di Microsoft hanno individuato una sofisticata operazione criminale incentrata sul furto di credenziali attraverso applicazioni VPN contraffatte. Il gruppo di hacker Storm-2561 ha orchestrato una campagna che sfrutta tecniche consolidate di inganno digitale, combinando l'avvelenamento dei motori di ricerca con l'ingegneria sociale per raggirare gli utenti ignari.

La trappola scatta nel momento in cui qualcuno effettua una ricerca legittima di client VPN popolari come Pulse Secure. I malintenzionati hanno manipolato l'algoritmo di Google e di altri motori (una pratica nota come SEO poisoning) per posizionare siti contraffatti in alto nei risultati. Questi portali cloni, dall'apparenza praticamente identica agli originali, inducono l'utente a scaricare un archivio ZIP dai server GitHub contenente un installer Windows malevolo. Per chi scarica il client Pulse Secure falso, sul computer vengono depositate tre componenti cruciali: il file Pulse.exe e due librerie dinamiche denominate dwmapi.dll e inspector.dll.

Quan l'utente lancia l'applicazione, la prima DLL funge da loader per attivare la seconda, una variante dell'ormai noto infostealer Hyrax specializzato nel furto di dati sensibili. Il malware provvede inoltre a modificare il registro di sistema Windows per garantire la sua esecuzione automatica ad ogni avvio del computer. Un dettaglio particolarmente insidioso: sia l'installer che le librerie erano sottoscritti con certificati digitali autentici (in seguito revocati), circostanza che evitava la visualizzazione di avvisi di sicurezza del sistema operativo. All'apertura, l'applicazione mostra una schermata di login praticamente identica a quella originale. Quando la vittima immette le proprie credenziali, compare un messaggio di errore che suggerisce di scaricare il vero client, mentre nel frattempo l'infostealer preleva dati di accesso e configurazioni VPN dal file connectionstore.dat custodito in C:\ProgramData\Pulse Secure\ConnectionStore\, spedendoli successivamente ai server di comando e controllo dei criminali.

Microsoft consiglia agli utenti di implementare l'autenticazione a più fattori per i propri account e di mantenere attiva la protezione cloud integrata in Windows Defender Antivirus. La scoperta sottolinea nuovamente i rischi concreti legati alla ricerca di software online: è sempre prudente verificare l'URL effettivo prima di scaricare qualsiasi applicazione e consultare direttamente i siti ufficiali dei fornitori di servizi.