Una recente campagna di furto credenziali sta colpendo utenti e aziende attraverso falsi client VPN distribuiti con tecniche di SEO poisoning. Il metodo sfrutta la fiducia nei risultati dei motori di ricerca e nella reputazione dei software enterprise. Quando una vittima cerca un programma VPN legittimo, viene indirizzata verso siti controllati dagli attaccanti che propongono download apparentemente affidabili, spesso in formato ZIP, contenenti installer malevoli.

Il gruppo identificato come Storm 2561 e attivo almeno dal 2025 usa pagine ottimizzate per comparire in alto nelle ricerche e imitare brand noti del settore sicurezza. In scenari precedenti la stessa strategia aveva gia portato alla distribuzione di installer contraffatti associati a malware loader, con l obiettivo di ottenere accesso iniziale ai sistemi. Nella variante piu recente, la catena di infezione si concentra sulla sottrazione di credenziali VPN, un dato particolarmente appetibile per compromettere accessi remoti e reti aziendali.

Un elemento critico e l abuso di piattaforme considerate affidabili come GitHub, utilizzate per ospitare i file di download. Il repository ospita un archivio ZIP che include un file MSI mascherato da software VPN autentico. Durante l installazione avviene il sideloading di DLL malevole che avviano un infostealer della famiglia Hyrax, progettato per raccogliere e inviare all esterno le credenziali inserite.

La truffa e resa convincente da una finestra di login VPN falsa, simile a quella reale. L utente inserisce username e password, poi riceve un messaggio di errore e viene invitato a scaricare il client corretto. In alcuni casi il reindirizzamento porta davvero al sito ufficiale, riducendo i sospetti e facendo credere a un semplice problema tecnico.

Per mantenere la persistenza su Windows, il malware puo configurarsi tramite la chiave di registro RunOnce, in modo da eseguirsi dopo il riavvio del sistema. Le contromisure consigliate includono l attivazione della multi factor authentication su tutti gli account, la verifica scrupolosa della fonte dei download e l uso di canali ufficiali per ottenere software VPN e strumenti di accesso remoto, evitando risultati sponsorizzati o domini simili a quelli reali.