Microsoft waarschuwt voor aanvallers die fake vpn-software voor bedrijven verspreiden wat in werkelijkheid malware is. De malware heeft als doel om vpn-inloggegevens van het slachtoffer te stelen. Bij de aanval wordt gebruikgemaakt van search engine optimization (SEO) poisoning om websites met de malafide vpn-software hoger in de zoekresultaten te krijgen, aldus Microsoft.

Het techbedrijf ontdekte tal van dergelijke websites waarop zogenaamd vpn-software van Ivanti, Fortinet, Cisco, Checkpoint, Sophos, SonicWall en WatchGuard wordt aangeboden. Wanneer gebruikers naar de zakelijke vpn-software zoeken kunnen ze deze websites in de zoekresultaten tegenkomen. De websites bevatten een link naar een bij GitHub gehost bestand dat het installatieprogramma zou zijn. Dit programma installeert de malware. Om gebruikers niets te laten vermoeden toont het geïnstalleerd programma een inlogvenster dat op dat van de echte vpn-software lijkt.

Wanneer slachtoffers hun wachtwoord en vpn-configuratie invoeren wordt deze data naar de aanvaller gestuurd. Hierna laat de malafide applicatie een fake foutmelding aan de gebruiker zien, die vervolgens de opdracht krijgt om de legitieme vpn-software te installeren. Daarbij kan ook de browser van het slachtoffer worden geopend met de legitieme website van de vpn-software. Hierdoor kan het zijn dat gebruikers niets vermoeden, stelt Microsoft. Het techbedrijf meldt tevens dat de malware aanpassingen aan het register doorvoert zodat die ook bij het opstarten van het systeem wordt geladen.