Situs VPN Palsu Digunakan untuk Mencuri Kredensial Perusahaan
Sebuah kampanye serangan siber baru terungkap memanfaatkan situs unduhan VPN perusahaan palsu untuk mencuri kredensial login pengguna. Kampanye ini dikaitkan dengan pelaku ancaman yang dilacak sebagai Storm-2561.
Dalam serangan tersebut, pelaku menyebarkan klien VPN palsu yang meniru produk dari berbagai vendor terkenal seperti Ivanti, Cisco, dan Fortinet. Tujuan utamanya adalah mencuri kredensial akses VPN milik pengguna yang tidak menyadari bahwa perangkat lunak yang mereka unduh merupakan malware.
Manipulasi Hasil Pencarian
Para penyerang memanfaatkan teknik SEO poisoning untuk memanipulasi hasil pencarian internet. Dengan metode ini, situs berbahaya dapat muncul di posisi atas hasil pencarian untuk kata kunci populer seperti “Pulse VPN download” atau “Pulse Secure client”.
Pengguna yang mencari perangkat lunak VPN tersebut kemudian diarahkan ke situs palsu yang tampak sangat mirip dengan halaman resmi milik vendor VPN asli.
Peneliti keamanan dari Microsoft yang menyelidiki kampanye ini menemukan bahwa infrastruktur serangan menggunakan berbagai domain yang meniru vendor keamanan dan jaringan, termasuk Sophos, SonicWall, Ivanti, Check Point, Cisco, dan WatchGuard.
Target utama dari kampanye ini adalah pengguna produk VPN perusahaan dari berbagai penyedia.
Mengunduh Installer VPN Palsu
Dalam skenario serangan yang diamati, situs palsu tersebut mengarahkan korban ke repositori GitHub yang sebelumnya digunakan untuk menyimpan file instalasi VPN palsu dalam bentuk arsip ZIP.
Di dalam arsip tersebut terdapat installer MSI yang tampak seperti perangkat lunak VPN resmi.
Ketika dijalankan, installer tersebut akan memasang file Pulse.exe ke direktori sistem dan secara bersamaan menanamkan dua komponen tambahan, yaitu:
- dwmapi.dll yang berfungsi sebagai loader malware
- inspector.dll yang merupakan varian dari malware pencuri data Hyrax
Malware ini bahkan ditandatangani secara digital menggunakan sertifikat sah milik perusahaan teknologi Taiyuan Lihua Near Information Technology Co., Ltd., meskipun sertifikat tersebut kini telah dicabut.
Antarmuka Login Palsu
Setelah instalasi berjalan, program VPN palsu akan menampilkan antarmuka login yang terlihat meyakinkan. Pengguna yang percaya bahwa mereka menggunakan klien VPN resmi akan memasukkan kredensial login mereka.
Informasi login tersebut kemudian langsung dikirim ke server milik penyerang.
Selain mencuri kredensial, malware juga mengambil data konfigurasi VPN yang tersimpan dalam file connectionsstore.dat dari direktori program VPN yang sah.
Menyembunyikan Aktivitas Malware
Untuk menghindari kecurigaan korban, aplikasi VPN palsu akan menampilkan pesan kegagalan instalasi setelah kredensial berhasil dicuri.
Pengguna kemudian diarahkan ke situs resmi vendor VPN untuk mengunduh perangkat lunak yang sebenarnya.
Jika korban kemudian menginstal VPN asli dan koneksi berfungsi normal, mereka kemungkinan besar akan menganggap kegagalan instalasi sebelumnya hanya sebagai masalah teknis, bukan indikasi adanya malware.
Sementara itu, di latar belakang sistem, malware telah menanamkan mekanisme persistensi dengan menambahkan Pulse.exe ke kunci registri Windows RunOnce, sehingga tetap aktif meskipun komputer telah direstart.
Rekomendasi Keamanan
Untuk mengurangi risiko serangan seperti ini, peneliti keamanan merekomendasikan sejumlah langkah perlindungan bagi organisasi dan administrator sistem.
Langkah-langkah tersebut antara lain mengaktifkan perlindungan berbasis cloud pada Microsoft Defender, menjalankan sistem Endpoint Detection and Response (EDR) dalam mode pemblokiran, serta menerapkan multi-factor authentication (MFA) untuk akses VPN.
Selain itu, penggunaan browser yang dilengkapi fitur keamanan seperti SmartScreen juga dapat membantu memblokir situs berbahaya yang mencoba meniru halaman unduhan perangkat lunak resmi.
Microsoft juga telah merilis indikator kompromi serta panduan investigasi untuk membantu organisasi mendeteksi dan menghentikan kampanye serangan ini sejak tahap awal.
