Hack Alerta

Campanha de phishing usa sites falsos do Fortinet para roubar credenciais VPN

Por Redação Hack Alerta Publicado em 09/01/2026 12:02 Riscos e Ameaças Tempo de leitura: 4 min

Pesquisa documenta campanha de phishing que usa GitHub Pages e redirecionamentos seletivos para imitar o portal de download da Fortinet, roubar credenciais VPN e distribuir payloads a partir de hosts maliciosos. Indicadores incluem vpn-fortinet.github.io, fortinet-vpn.com e myfiles2.download.

Resumo

Pesquisadores identificaram uma campanha de phishing que imita o portal de download da VPN da Fortinet e rouba credenciais ao combinar páginas hospedadas em domínios confiáveis com redirecionamentos seletivos. A operação explora SEO e resumos gerados por IA para aumentar a taxa de cliques.

Como a campanha funciona

O ataque começa com páginas legítimas aparentemente confiáveis — incluindo um repositório no GitHub Pages — que servem como aterrissagem inicial. Essas páginas verificam o cabeçalho referrer do visitante e, quando identificam tráfego vindo de grandes mecanismos de busca (Google, Bing, Yahoo, DuckDuckGo), disparam um redirecionamento para um site de phishing que imita com precisão a interface de download da Fortinet.

Fluxo observável

  • Usuário pesquisa "como baixar Fortinet VPN" e vê um resumo de busca (AI-generated snippet) que inclui conteúdo do domínio atacante hospedado no GitHub (vpn-fortinet[.]github[.]io).
  • Ao clicar, um script verifica o referrer e, se vier de um motor de busca, redireciona para o domínio final de phishing (fortinet-vpn[.]com).
  • O site de phishing solicita supostas informações de configuração ("Remote Gateway", "Login", "Password") em um modal antes de permitir o download.
  • Após o envio, as credenciais são exfiltradas enquanto a página inicia um download a partir de um host de payload (myfiles2[.]download). Para reduzir suspeitas, o instalador muitas vezes contém uma versão legítima do FortiClient, enquanto o atacante já coletou as credenciais.

Evidências e indicadores

O pesquisador identificado como G0njxa documentou o uso de páginas no GitHub como isca inicial e a dependência de resumos automáticos de busca para impulsionar tráfego humano. As IOCs reportadas que equipes de infraestrutura e SOC devem bloquear e investigar imediatamente incluem:

  • vpn-fortinet[.]github[.]io — domínio de aterrissagem inicial (GitHub Pages)
  • fortinet-vpn[.]com — site de phishing onde ocorrem os formulários falsos
  • myfiles2[.]download — host de payload/instalador

Por que funciona

O atacante explora dois vetores de confiança: a reputação do GitHub e a crescente dependência de resumos gerados por modelos de busca. Resumos automáticos muitas vezes incorporam trechos do conteúdo indexado sem validação humana, colocando um resultado malicioso em posição de destaque. Além disso, o uso de redirecionamentos seletivos evita a detecção por crawlers de segurança e sandboxes, porque o payload só é entregue a visitantes com determinados referrers.

Impacto e limites conhecidos

A campanha visa administradores e colaboradores remotos que buscam instaladores legítimos de VPN — perfis com acesso a recursos sensíveis. O impacto principal é o comprometimento de credenciais de VPN, que permite movimento lateral e acesso remoto. As informações disponíveis na investigação pública não quantificam o número de vítimas ou se houve abuso em larga escala de credenciais roubadas; esses dados não foram revelados nas fontes consultadas.

Mitigações práticas

  • Bloquear nos perímetros de rede as IOCs citadas e monitorar conexões para esses domínios.
  • Alertar usuários e equipes de TI: baixar software sempre do domínio oficial (checar fortinet.com) e desconfiar de instruções que chegam via resultados de busca ou resumos automáticos.
  • Implementar detecções baseadas em comportamento para identificar logins VPN anômalos (geolocalização, dispositivos novos, horários incomuns).
  • Reforçar treinamentos específicos para equipes que instalam clientes de VPN — os atacantes visam profissionais com maior probabilidade de executar instaladores.
  • Nos mecanismos de busca corporativos, considerar bloquear resultados que sirvam conteúdo de GitHub Pages não verificado para downloads de software sensível.

Observações finais

Esta campanha ilustra uma tendência crescente: adversários combinam engenharia social, abuso de plataformas reputadas e manipulação de mecanismos de busca/IA para direcionar vítimas reais enquanto enganam ferramentas automatizadas de defesa. Fontes citadas mostram TTPs (SEO poisoning, redirect chain, credential harvest) claramente documentados; não há, nas fontes, informações sobre exploração automatizada posterior das credenciais roubadas que permitam quantificar alcance além das IOCs divulgadas.

Baseado em publicação original de Cyber Security News
Tags: #phishing #fortinet #vpn #seo-poisoning #github-pages #iotcs #credential-theft #malware #soc
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar