Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Troià SilentRoute

Troià SilentRoute

El Mezo el Programari maliciós, troians
Traduir a:

Els ciberdelinqüents han tornat a trobar una manera de convertir programari de confiança en una arma, aquesta vegada creant una versió troiana de SSL VPN NetExtender. Aquesta campanya d'atac, descoberta per investigadors de ciberseguretat, representa una greu amenaça per als usuaris que busquen accés remot a la xarxa.

El troià disfressat

Al centre d'aquesta campanya hi ha una versió modificada del client SSL VPN NetExtender, una eina legítima dissenyada per permetre als usuaris remots connectar-se de manera segura a les xarxes empresarials. Permet als usuaris executar aplicacions internes, accedir a unitats compartides i transferir fitxers com si fossin físicament presents a la xarxa de l'empresa.

Malauradament, un grup d'amenaces desconegut ha estat fent circular una versió falsa d'aquest programari, injectant-hi programari maliciós anomenat SilentRoute. Un cop instal·lada, aquesta versió fraudulenta roba silenciosament dades sensibles de l'usuari.

Com funciona l’atac

Els atacants utilitzen un lloc web fals per allotjar l'instal·lador maliciós de NetExtender, disfressat de la versió legítima 10.3.2.27. Tot i que el lloc web ha estat retirat, l'instal·lador estava signat digitalment per CITYLIGHT MEDIA PRIVATE LIMITED, cosa que li dóna un aire de falsa legitimitat.

És probable que les víctimes siguin atretes a descarregar el programari maliciós a través de:

  • Llocs web falsos que apareixen als resultats de cerca per enverinament SEO
  • Correus electrònics de spear phishing amb enllaços maliciosos
  • Campanyes de publicitat maliciosa i publicacions enganyoses a les xarxes socials

Un cop descarregat, l'instal·lador maliciós implementa versions modificades de dos components crítics, NeService.exe i NetExtender.exe, que s'han alterat per ignorar la validació del certificat digital. Aquests components exfiltren discretament dades de configuració a un servidor controlat per un atacant a 132.196.198.163:8080.

Què es roba i com

Després que l'usuari introdueixi les seves credencials VPN i premi el botó "Connecta", el troià realitza les seves pròpies comprovacions abans de transmetre les dades robades al servidor de l'atacant. La informació exfiltrada inclou:

  • Nom d'usuari
  • Contrasenya
  • Domini
  • Detalls del servidor VPN i dades de configuració

Aquesta informació robada podria concedir als atacants accés no autoritzat a entorns corporatius, cosa que converteix això en un problema important de ciberseguretat.

Conclusions clau per mantenir-se protegit

Per evitar ser víctimes d'aquestes amenaces, les organitzacions i els usuaris haurien de:

  • Només descarregueu VPN i eines d'accés remot de llocs web oficials o de proveïdors verificats.
  • Aneu amb compte quan feu clic als enllaços dels correus electrònics, anuncis o resultats de cerca, especialment els que ofereixen descàrregues de programari.

A més, els administradors de xarxa han de controlar les connexions de sortida inusuals i assegurar-se que els sistemes de protecció de punts finals estiguin actualitzats i configurats per detectar executables manipulats.

Reflexions finals

La campanya SilentRoute destaca la creixent sofisticació de la distribució de programari maliciós mitjançant la suplantació d'identitat i l'enginyeria social. La vigilància, juntament amb una forta higiene digital, continua sent la millor defensa contra aquestes amenaces enganyoses.

Tendència

Més vist

Carregant...