Para ahli Microsoft Defender telah mengungkap kampanye pencurian kredensial canggih yang diatur oleh kelompok kriminal siber Storm-2561. Para penyerang telah memanfaatkan SEO poisoning untuk mengarahkan pengguna yang mencari perangkat lunak VPN yang sah ke situs web berbahaya. Situs-situs ini mendistribusikan file ZIP yang berisi trojan yang menyamar sebagai klien VPN, yang kemudian mengambil kredensial VPN. Kampanye ini, yang aktif sejak Mei 2025, mengeksploitasi kepercayaan pengguna pada hasil mesin pencari dan tampilan perangkat lunak yang sah untuk menjalankan operasinya.

Kampanye terbaru Storm-2561 melibatkan penyebaran malware melalui manipulasi SEO, yang mengarahkan pengguna untuk mengunduh klien VPN palsu dari repositori GitHub yang dikendalikan oleh penyerang. Repositori ini, yang sekarang dinonaktifkan, menyimpan file ZIP dengan penginstal berbahaya yang tampak seperti perangkat lunak VPN asli. Trojan tersebut, yang ditandatangani dengan sertifikat sah yang sejak itu telah dicabut, akan diinstal bersamaan dengan file DLL berbahaya, memungkinkan pencurian kredensial sambil menghindari deteksi dengan tampak sebagai aplikasi tepercaya.

Microsoft Threat Intelligence telah memberikan analisis tentang taktik yang digunakan oleh Storm-2561, menekankan teknik rekayasa sosial yang meningkatkan legitimasi perangkat lunak berbahaya tersebut. Perusahaan ini juga telah membagikan rekomendasi mitigasi dan panduan deteksi untuk pengguna Microsoft Defender. Panduan tersebut mencakup pengaktifan perlindungan berbasis cloud, menjalankan deteksi dan respons titik akhir (EDR) dalam mode blokir, dan penerapan autentikasi multifaktor (MFA) di antara strategi lainnya.

Untuk membantu dalam pertahanan terhadap kampanye pencurian kredensial semacam itu, Microsoft telah merekomendasikan beberapa langkah keamanan. Ini termasuk mengaktifkan perlindungan berbasis cloud, menggunakan EDR dalam mode blokir, mengaktifkan perlindungan jaringan, dan mendorong penggunaan browser dengan SmartScreen. Selain itu, pelanggan Microsoft Defender memiliki akses ke daftar deteksi dan kueri pencarian lanjutan untuk mengidentifikasi aktivitas berbahaya terkait di jaringan mereka.