Уязвимость в FortiClient EMS позволила хакерам распространять стилер через поддельное обновление

В мае 2026 года эксперты компании Arctic Wolf обнаружили активную кампанию, нацеленную на организации, использующие систему управления конечными точками FortiClient EMS. Злоумышленники воспользовались критической уязвимостью, чтобы внедрить вредоносную полезную нагрузку, замаскированную под официальное обновление Fortinet. В результате атаки на managed-устройствах оказался установлен ранее неизвестный похититель учетных данных EKZ Infostealer, способный обходить механизмы шифрования браузеров Chromium.

Описание

Инцидент затронул предприятия, где для централизованного управления политиками и конфигурациями антивируса FortiClient используется сервер EMS. По данным Arctic Wolf, атака стала возможной из-за уязвимости CVE-2026-35616, которая относится к категории ошибок контроля доступа. Она позволяет неаутентифицированному злоумышленнику обходить проверку подлинности API и отправлять привилегированные запросы к уязвимому серверу. При этом в логах FortiClient EMS появляется характерная запись: "Сертификат не найден в заголовке запроса", а следом - сообщение об успешном обновлении фиктивного устройства. Именно эту комбинацию аналитики рекомендуют считать ранним индикатором атаки.

Получив доступ к панели управления, хакеры изменяли конфигурацию профиля удаленного доступа и политики конечных точек. Они добавляли в настройки VPN-соединений IPsec скрипт, который автоматически выполнялся на устройстве после установки туннеля. Сценарий имел расширение .cmd и размещался в папке C:\Program Files\Fortinet\FortiClient\logs\Trace\scripts с именем в формате глобального уникального идентификатора. Далее командный процессор запускал PowerShell, который загружал с удаленного сервера исполняемый файл FortiEndpoint_Patch.exe. Вредоносная программа маскировалась под патч для Fortinet, но на деле представляла собой стилер.

После загрузки и запуска похититель начинал сбор данных из браузеров Chrome, Firefox и их производных. Для обхода защиты Chrome программа копировала себя в каталог приложения браузера и через Elevation Service получала мастер-ключ AES-256. Затем она расшифровывала базы данных SQLite, содержащие пароли, файлы cookies и информацию автозаполнения - номера кредитных карт, адреса и телефоны. В случае Firefox стилер загружал библиотеку nss3.dll и извлекал учетные данные из стандартных хранилищ, включая key4.db и logins.json. Собранные сведения записывались в лог-файл, который затем отправлялся на управляющий сервер по протоколу HTTP. После завершения эксфильтрации и локальные артефакты, и сам исполняемый файл удалялись, чтобы замести следы.

Последствия такой атаки выходят далеко за пределы одной скомпрометированной машины. Полученные cookies позволяют злоумышленникам повторно использовать уже аутентифицированные сессии, обходя запросы многофакторной аутентификации. Сохраненные пароли дают доступ к облачным сервисам, внутренним приложениям и другим критическим ресурсам организации. При этом сам метод распространения - через доверенный канал управления - делает обнаружение крайне сложным, поскольку процессы FortiClient рассматриваются системой защиты как легитимные.

Чтобы снизить риски, компаниям настоятельно рекомендуется как можно скорее обновить FortiClient EMS до исправленной версии, а также ограничить сетевой доступ к порту управления 8013 только доверенными IP-адресами. Кроме того, специалистам по безопасности следует обращать внимание на аномалии в аутентификации сертификатов и неожиданные изменения в профилях удаленного доступа. Любое выполнение PowerShell, запущенное через cmd.exe с родительским процессом fortitray.exe или ipsec.exe, должно проверяться на предмет скрытых загрузок. Сетевые аналитики могут отслеживать прямые HTTP-соединения к серверу 83.138.53[.]110, который использовался как для доставки полезной нагрузки, так и для приема украденных данных.

Этот случай наглядно демонстрирует, как управляющие платформы, призванные повышать безопасность, могут стать инструментом атаки, если злоумышленник получает над ними контроль. Вместо типичных фишинговых писем хакеры использовали штатные механизмы удаленного администрирования, превратив доверенную инфраструктуру в канал распространения вредоносного кода. Учитывая рост числа подобных инцидентов, организациям стоит пересмотреть политики доступа к системам управления и внедрить дополнительный мониторинг на предмет необычных изменений конфигураций.