Троянски кон SilentRoute
Киберпрестъпниците отново намериха начин да превърнат надежден софтуер в оръжие, този път чрез създаването на троянска версия на SSL VPN NetExtender. Тази атакуваща кампания, разкрита от изследователи по киберсигурност, представлява сериозна заплаха за потребителите, търсещи отдалечен достъп до мрежата.
Съдържание
Троянецът под прикритие
В центъра на тази кампания е модифицирана версия на SSL VPN клиента NetExtender, легитимен инструмент, предназначен да позволи на отдалечени потребители да се свързват сигурно с корпоративни мрежи. Той позволява на потребителите да стартират вътрешни приложения, да имат достъп до споделени дискове и да прехвърлят файлове, сякаш физически присъстват в мрежата на компанията.
За съжаление, неизвестна група злонамерени лица разпространява фалшива версия на този софтуер, като в него инжектира зловреден софтуер, наречен SilentRoute. След като бъде инсталирана, тази измамна версия тихомълком краде чувствителни данни от потребителя.
Как работи атаката
Нападателите използват фалшив уебсайт, за да хостват злонамерения инсталатор на NetExtender, маскиран като легитимната версия 10.3.2.27. Въпреки че уебсайтът е свален, според съобщенията инсталаторът е бил цифрово подписан от CITYLIGHT MEDIA PRIVATE LIMITED, което му придава фалшива представа за легитимност.
Жертвите вероятно са примамени да изтеглят зловредния софтуер чрез:
- Фалшифицирани уебсайтове, показващи се в резултатите от търсенето чрез SEO отравяне
- Имейли за фишинг с злонамерени връзки
- Злонамерени рекламни кампании и подвеждащи публикации в социалните медии
След като бъде изтеглен, злонамереният инсталатор внедрява модифицирани версии на два критични компонента, NeService.exe и NetExtender.exe, които са променени, за да игнорират валидирането на цифрови сертификати. Тези компоненти дискретно извличат конфигурационни данни към контролиран от хакера сървър на адрес 132.196.198.163:8080.
Какво се краде и как
След като потребителят въведе своите VPN идентификационни данни и натисне бутона „Свързване“, троянският кон извършва свои собствени проверки, преди да предаде откраднатите данни на сървъра на нападателя. Открадната информация включва:
- Потребителско име
- Парола
- Домейн
- Детайли и конфигурационни данни за VPN сървъра
Тази открадната информация би могла да предостави на нападателите неоторизиран достъп до корпоративна среда, което прави това сериозен проблем за киберсигурността.
Ключови изводи за това как да останете защитени
За да избегнат да станат жертва на подобни заплахи, организациите и потребителите трябва:
- Изтегляйте VPN и инструменти за отдалечен достъп само от официални уебсайтове или проверени доставчици.
- Бъдете внимателни, когато кликвате върху връзки в имейли, реклами или резултати от търсенето, особено тези, които предлагат изтегляне на софтуер.
Освен това, мрежовите администратори трябва да следят за необичайни изходящи връзки и да гарантират, че системите за защита на крайните точки са актуални и конфигурирани да откриват подправени изпълними файлове.
Заключителни мисли
Кампанията SilentRoute подчертава нарастващата сложност на разпространението на зловреден софтуер чрез имитация на друг човек и социално инженерство. Бдителността, съчетана със силна дигитална хигиена, остава най-добрата защита срещу подобни измамни заплахи.
