Bedreigingsactoren blijven misbruik maken van een kritieke, nu gepatchte beveiligingsfout die van invloed is op FortiClient Endpoint Management Server (EMS)-implementaties om malware te leveren die inloggegevens steelt.
“De campagne maakte misbruik van de vertrouwde infrastructuur voor eindpuntbeheer om malware over beheerde eindpunten te verspreiden”, aldus Arctic Wolf. “Bedreigingsactoren vermomden de payload van de credential stealer als een Fortinet-eindpuntupdate en voerden het kwaadaardige uitvoerbare bestand stilletjes uit via PowerShell.”
De activiteit, waargenomen door het cyberbeveiligingsbedrijf in mei 2026, omvat de exploitatie van CVE-2026-35616 (CVSS-score: 9,1), een kritieke pre-authenticatie-API-toegangsbypass die leidt tot escalatie van bevoegdheden. Het probleem is door Fortinet verholpen in FortiClient EMS 7.4.7 en hoger.
Een succesvol compromis wordt gevolgd doordat de bedreigingsacteur stappen onderneemt om configuraties aan te passen om herinneringen aan firmware-upgrades uit te stellen, evenals een Remote Access Profile-configuratie en eindpuntbeleid aan te passen om een kwaadaardig script in te voegen voor uitvoering op eindpuntapparaten.
“Het waargenomen uitvoeringspatroon suggereert dat bedreigingsactoren het eigen beheertraject van FortiClient gebruikten om kwaadaardige PowerShell-opdrachten naar beheerde eindpunten te sturen op een manier die leek op legitieme beheeroperaties”, aldus Arctic Wolf.
“Toen de bedreigingsactoren eenmaal een route hadden om de door EMS beheerde configuratie aan te passen, werd elk beheerd eindpunt een potentieel uitvoeringsdoel zonder dat er een afzonderlijk inbraakpad naar elk apparaat nodig was.”
Bovendien is gebleken dat de aanval gebruik maakt van “fortitray.exe”, een legitiem uitvoerbaar bestand dat is gekoppeld aan FortiClient, om een .cmd-scriptbestand te starten met behulp van “cmd.exe”. Het .cmd-script is ontworpen om een Base64-gecodeerd PowerShell-script aan te roepen dat op zijn beurt verantwoordelijk is voor het downloaden van een kwaadaardige payload, het uitvoeren ervan en het exfiltreren van de resultaten naar “83.138.53(.)110” via een HTTP POST-verzoek.
Het uitvoerbare bestand, genaamd “FortiEndpoint_Patch.exe”, doet zich voor als een update, maar is in werkelijkheid een voorheen niet gerapporteerde Windows-informatiedief die gevoelige gegevens, zoals wachtwoorden, cookies en gegevens voor automatisch aanvullen, zoals creditcardgegevens, adressen en telefoonnummers, kan verzamelen uit Chromium- en Gecko-gebaseerde browsers.
De gegevens worden naar een logbestand geschreven en opgeslagen in de ProgramData-directory. Het is vermeldenswaard dat de dief geen netwerkgebaseerde exfiltratiemogelijkheden heeft. Het is het PowerShell-script dat de vastgelegde gegevens verzendt naar de door de aanvaller bestuurde infrastructuur.
“Door API-authenticatie te omzeilen en te communiceren met EMS-functionaliteit in een geprivilegieerde context, konden bedreigingsactoren de beheerconfiguratie wijzigen en kwaadaardige scripts pushen voor uitvoering op beheerde eindpunten”, aldus Arctic Wolf.
“Sessiecookies en opgeslagen browserreferenties kunnen bedreigingsactoren vervolgtoegang bieden tot clouddiensten, interne applicaties en andere geauthenticeerde bronnen, inclusief gevallen waarin hergebruik van sessies MFA-prompts kan omzeilen.”
