▲微軟揭露假VPN釣魚攻擊。(圖/取自免費圖庫Pexels)
記者吳立言/綜合報導
微軟近日公布一起資安事件,指出駭客利用「SEO 投毒(SEO poisoning)」技術操控搜尋引擎排名,讓惡意網站出現在搜尋結果前段,誘導使用者下載偽造的 VPN 軟體。
這類攻擊鎖定搜尋合法 VPN 工具的使用者,一旦點擊搜尋結果,便會被導向外觀高度仿真的釣魚網站。
多家知名 VPN 品牌遭到仿冒
微軟指出,駭客仿冒多家企業常用 VPN 品牌,包括 Ivanti、Check Point、Cisco、Fortinet、SonicWall、Sophos 與 WatchGuard 等。這些假網站幾乎與官方頁面一致,讓使用者難以分辨真偽,進一步提高中招機率。
惡意程式運作:假 VPN 真竊資 植入後門機制
當使用者下載並安裝所謂的 VPN 軟體後,實際上會安裝一個內含惡意 DLL 的 Windows 安裝檔(MSI)。這些程式並不提供 VPN 功能,而是在使用者輸入帳號、密碼與 VPN 設定後,立即將資料回傳給攻擊者。為了掩飾行為,程式仍會顯示看似正常的登入畫面,降低使用者警覺。
該惡意軟體會透過 Windows 的 RunOnce 登錄機碼建立後門,讓程式在裝置重新開機後仍可持續執行,確保攻擊者能長期存取受害裝置。
高度擬真 用戶難察覺異常
在竊取帳密後,惡意程式會顯示「安裝失敗」訊息,並引導使用者前往官方網站重新下載正版 VPN。微軟指出,若使用者後續成功使用正版 VPN,通常不會察覺先前已遭入侵,容易將異常歸因於技術問題。這起攻擊行動被歸因於名為 Storm-2561 的駭客組織,該組織自 2025 年 5 月起活躍,擅長冒充熱門軟體供應商進行攻擊。
※ 資安提醒:如何避免中招
面對此類攻擊,微軟建議使用者:
僅從官方網站或可信來源下載軟體
避免點擊搜尋結果中的可疑連結
檢查網址是否正確(避免拼字相似的假域名)
使用資安防護工具即時偵測威脅
