Изучив управляющую инфраструктуру атакующих, исследователи обнаружили домены, имитирующие ресурсы Sophos, Sonicwall, Ivanti, Check Point, Cisco, WatchGuard и других производителей.Хакер Online
Фальшивые сайты вели на репозиторий на GitHub (в настоящее время уже удален), где размещался ZIP-архив с поддельным MSI-установщиком VPN-клиента.Хакер Online
Чтобы не вызвать подозрений, после кражи учетных данных фальшивый клиент сообщает об ошибке установки и перенаправляет пользователя на настоящий сайт вендора, чтобы тот мог загрузить реальный VPN-клиент.Хакер Online
В Microsoft рекомендуют системным администраторам включить облачную защиту в Defender, запустить EDR в режиме блокировки, использовать многофакторную аутентификацию, а также браузеры с поддержкой SmartScreen.Хакер Online