حمله سایبری جدید با پوشش VPN

طبق گزارش‌ها، این گروه از ماه می ۲۰۲۵ فعالیت خود را آغاز کرده و با استفاده از تکنیک‌های فریب آنلاین، کاربران را به دانلود نسخه‌های آلوده از نرم‌افزار‌های VPN ترغیب می‌کند.

سوءاستفاده از نتایج جست‌و‌جو برای انتشار بدافزار

به گزارش روز نو، در این روش هکر‌ها با دستکاری نتایج جست‌و‌جو و استفاده از تکنیک‌های SEO، وب‌سایت‌های مخرب را در صدر نتایج قرار می‌دهند. این سایت‌ها در ظاهر شبیه صفحات رسمی دانلود نرم‌افزار هستند.

برای مثال زمانی که کاربران عباراتی مانند “Pulse Secure client” یا “Pulse VPN download” را جست‌و‌جو می‌کنند، ممکن است با لینک‌هایی روبه‌رو شوند که به جای سایت رسمی، آنها را به صفحات جعلی هدایت می‌کند.

این صفحات تقلبی نسخه‌هایی از کلاینت‌های VPN سازمانی را ارائه می‌دهند که در واقع حاوی بدافزار هستند.

هدف قرار گرفتن برند‌های بزرگ امنیتی

بر اساس گزارش‌ها، در این حملات نام و برند چندین شرکت مطرح در حوزه امنیت شبکه مورد سوءاستفاده قرار گرفته است. از جمله:

Check Point

Cisco

Fortinet

Ivanti

SonicWall

Sophos

WatchGuard

هکر‌ها با جعل هویت این شرکت‌ها، کاربران را فریب داده و آنها را به دانلود نرم‌افزار‌های آلوده ترغیب می‌کنند.

استفاده از گیت‌هاب برای انتشار فایل‌های آلوده

در مرحله بعد، قربانیان به مخازن مخرب در GitHub هدایت می‌شوند که در آن فایل‌های نصب وی‌پی‌ان در قالب Microsoft Windows Installer قرار داده شده است.

تیم اطلاعات تهدید مایکروسافت اعلام کرده که لینک‌های جعلی مربوط به این کمپین در دو دامنه شناسایی شده‌اند. به گفته این شرکت، مخازن گیت‌هاب مرتبط با این حملات پس از شناسایی حذف شده‌اند.

توصیه‌های امنیتی برای کاربران

کارشناسان امنیتی توصیه می‌کنند کاربران برای جلوگیری از آلودگی سیستم خود:

نرم‌افزار‌های VPN را فقط از سایت رسمی شرکت‌ها دانلود کنند

به نتایج جستجوی ناشناس یا مشکوک اعتماد نکنند

قبل از نصب نرم‌افزارها، اعتبار منبع دانلود را بررسی کنند

با افزایش حملات سایبری مبتنی بر فریب کاربران، توجه به منابع دانلود و رعایت اصول امنیت دیجیتال بیش از گذشته اهمیت پیدا کرده است.