Una campaña sofisticada está utilizando repositorios de GitHub y SEO malicioso para engañar no solo a los usuarios, sino también a los resúmenes automáticos de los motores de búsqueda.
El “trabajo remoto” sigue siendo el objetivo predilecto de los cibercriminales. Una nueva investigación ha revelado una campaña de phishing altamente efectiva dirigida a administradores de TI y empleados remotos que buscan descargar FortiClient, el software VPN de Fortinet.
Lo que hace única a esta campaña no es solo la clonación del sitio web, sino cómo las víctimas llegan a él: a través de las “Respuestas Rápidas” generadas por IA en buscadores modernos.
El Cómplice Involuntario: La Inteligencia Artificial
Investigadores de seguridad descubrieron que los atacantes han logrado envenenar los resultados de búsqueda.
- El Engaño: Los criminales alojaron una guía falsa en GitHub Pages (vpn-fortinet[.]github[.]io).
- La Amplificación: Al ser GitHub un dominio de alta autoridad, los algoritmos de IA de los motores de búsqueda “leen” este contenido y lo presentan como una respuesta confiable cuando un usuario busca “Cómo descargar Fortinet VPN”.
- El Resultado: El usuario ve un resumen generado por IA con un enlace “paso a paso” que, irónicamente, lo lleva directo a la trampa.
El Mecanismo de Ataque
La campaña utiliza una cadena de redirección inteligente para filtrar a los investigadores de seguridad y bots:
- Filtro de Referencia: El script en la página de GitHub verifica de dónde viene el visitante. Si detecta que viene de Google, Bing o DuckDuckGo, activa la trampa. Si es un acceso directo (típico de analistas), no hace nada.
- El Sitio Clonado: La víctima es redirigida a fortinet-vpn[.]com, una réplica visualmente perfecta del portal oficial.
- La Cosecha: Antes de permitir la descarga, el sitio muestra un modal falso exigiendo “Configurar el Instalador”. Aquí pide a la víctima ingresar su Gateway Remoto, Usuario y Contraseña.
- El “Premio”: Una vez robadas las credenciales, el sitio descarga el instalador real de FortiClient desde un servidor externo (myfiles2[.]download) para que la víctima no sospeche nada, mientras los atacantes ya tienen acceso libre a la red corporativa.
Indicadores de Compromiso (IoCs)
Los administradores de red deben bloquear y buscar tráfico hacia los siguientes dominios inmediatamente:
- vpn-fortinet[.]github[.]io (Página cebo)
- fortinet-vpn[.]com (Sitio de Phishing)
- myfiles2[.]download (Alojamiento de Payload)
Recomendaciones
- Fuente Oficial: Instruye a los empleados para que siempre escriban manualmente fortinet.com o utilicen marcadores corporativos, en lugar de buscar el software en Google.
- Verificación de URL: Recuerda que el software legítimo casi nunca pide credenciales antes de descargar el instalador, sino durante la instalación o el primer uso.
- Bloqueo de GitHub Pages: Si no es esencial para el negocio, considera bloquear el dominio comodín *.github.io o monitorearlo estrechamente, ya que es abusado frecuentemente para alojar phishing.
