FortiClient EMS: уязвимость позволяет внедрять стиллер EKZ

В мае 2026 года выявлена кампания, использующая CVE-2026-35616 в FortiClient EMS

В мае 2026 года специалисты обнаружили угрозу, эксплуатирующую уязвимость CVE-2026-35616 в сервере управления конечными точками FortiClient EMS. Проблема связана с control access и позволила злоумышленникам обходить механизмы аутентификации, а затем выполнять вредоносные скрипты на управляемых конечных точках.

По данным отчета, атакующие использовали инфраструктуру FortiClient для распространения вредоносных обновлений под видом легитимного обслуживания, что помогало им обходить традиционные средства защиты и оставаться менее заметными.

Как работала атака

Злоумышленники замаскировали модуль для кражи учетных данных, известный как EKZ Infostealer, под легитимный patch для конечных точек Fortinet. На практике это означало, что вредоносный код распространялся как будто в рамках обычного административного процесса.

• атака использовала PowerShell для развертывания полезной нагрузки;
• вредоносные скрипты загружали и скрытно запускали стиллер;
• собранные учетные данные эксфильтровались через HTTP POST;
• доставка вредоносного кода происходила через доверенную инфраструктуру управления FortiClient.

Отдельно отмечается, что злоумышленники провели административные изменения, включая модификацию профиля удаленного доступа. Это позволило запускать неутвержденные скрипты в момент установления VPN-соединений.

Что известно о CVE-2026-35616

Уязвимость CVE-2026-35616 была сообщена Fortinet 31 марта 2026 года. Она затрагивает аутентифицированные API requests и связана с неправильной реализацией контроля доступа. В практическом плане это давало злоумышленникам возможность манипулировать конфигурациями и развертывать вредоносные скрипты в масштабе.

После того как конечная точка инициировала подключение по VPN, запускались скрипты, предназначенные для загрузки и выполнения base64-encoded PowerShell payload. Уже через несколько секунд после подключения к FortiGate эти скрипты активировались, используя несколько резервных методов для загрузки файлов и последующей эксфильтрации конфиденциальных данных.

Что делает EKZ Infostealer

EKZ Infostealer нацелен на учетные данные, сохраненные в браузерах, включая Chrome, Firefox и другие. Вредоносная программа использует разные методы в зависимости от браузера, чтобы добраться до сохраненных секретов.

• для браузеров на базе Chromium стиллер извлекает ключи дешифрования из реестра;
• для Firefox применяются аналогичные приемы для доступа к сохраненным учетным данным;
• кроме паролей, вредоносная программа нацелена на session cookies;
• это создает риск дальнейшего несанкционированного доступа к веб-сервисам и внутренним приложениям.

Таким образом, кампания представляет угрозу не только для отдельных учетных записей, но и для более широкого периметра организации, поскольку похищенные данные могут быть использованы для последующих атак.

Почему эта кампания опасна

Особую опасность представляет то, что атакующие используют доверенные административные инструменты против их же пользователей. Такой подход позволяет минимизировать усилия по первоначальному проникновению и одновременно увеличить масштаб ущерба.

Как следует из отчета, эта кампания подчеркивает критическую необходимость повышенного внимания к системам управления, таким как FortiClient EMS, а также важность надежного мониторинга и эффективного incident response.

В отчете отдельно отмечается, что подобные методы эксплуатации требуют не только устранения уязвимости,
но и постоянной проверки административных процессов, политик доступа и механизмов обнаружения аномалий.

Для организаций вывод очевиден: доверенная инфраструктура управления не должна рассматриваться как автоматически безопасная. В условиях целевых атак именно она может стать удобным каналом для скрытого распространения вредоносного кода и кражи данных.