Trojan SilentRoute
Kyberzločinci opět našli způsob, jak zneužít důvěryhodný software, tentokrát vytvořením trojské verze SSL VPN NetExtender. Tato útočná kampaň, kterou odhalili výzkumníci v oblasti kybernetické bezpečnosti, představuje vážnou hrozbu pro uživatele, kteří chtějí vzdálený přístup k síti.
Obsah
Trojan v přestrojení
Ústředním bodem této kampaně je upravená verze klienta SSL VPN NetExtender, což je legitimní nástroj určený k bezpečnému připojení vzdálených uživatelů k podnikovým sítím. Umožňuje uživatelům spouštět interní aplikace, přistupovat ke sdíleným diskům a přenášet soubory, jako by byli fyzicky přítomni v podnikové síti.
Neznámá skupina kybernetických útoků bohužel šíří falešnou verzi tohoto softwaru, do které vkládá malware s názvem SilentRoute. Po instalaci tato podvodná verze tiše krade citlivá data uživatele.
Jak útok funguje
Útočníci používají falešnou webovou stránku k hostování škodlivého instalačního programu NetExtender, maskovaného jako legitimní verze 10.3.2.27. Přestože webová stránka byla odstraněna, instalační program byl údajně digitálně podepsán společností CITYLIGHT MEDIA PRIVATE LIMITED, což mu dodává falešný vzhled legitimity.
Oběti jsou pravděpodobně lákány ke stažení malwaru prostřednictvím:
- Falešné webové stránky se zobrazují ve výsledcích vyhledávání v důsledku SEO otravy
- Spear phishingové e-maily se škodlivými odkazy
- Škodlivé reklamní kampaně a zavádějící příspěvky na sociálních sítích
Po stažení škodlivý instalační program nasadí upravené verze dvou kritických komponent, NeService.exe a NetExtender.exe, které byly upraveny tak, aby ignorovaly ověřování digitálních certifikátů. Tyto komponenty nenápadně odesílají konfigurační data na server ovládaný útočníkem na adrese 132.196.198.163:8080.
Co se krade a jak
Poté, co uživatel zadá své VPN přihlašovací údaje a stiskne tlačítko „Připojit“, trojský kůň provede vlastní kontroly, než odešle ukradená data na server útočníka. Mezi získané informace patří:
- Uživatelské jméno
- Heslo
- Doména
- Podrobnosti o VPN serveru a konfigurační data
Tyto ukradené informace by mohly útočníkům poskytnout neoprávněný přístup do firemního prostředí, což by z nich činilo významný kybernetický bezpečnostní problém.
Klíčové poznatky pro zachování ochrany
Aby se organizace a uživatelé nestali obětí takových hrozeb, měli by:
- Nástroje pro VPN a vzdálený přístup stahujte pouze z oficiálních webových stránek nebo od ověřených dodavatelů.
- Buďte opatrní při klikání na odkazy v e-mailech, reklamách nebo výsledcích vyhledávání, zejména na ty, které nabízejí stahování softwaru.
Správci sítě by navíc měli monitorovat neobvyklá odchozí připojení a zajistit, aby systémy ochrany koncových bodů byly aktuální a nakonfigurované tak, aby detekovaly pozměněné spustitelné soubory.
Závěrečné myšlenky
Kampaň SilentRoute zdůrazňuje rostoucí sofistikovanost distribuce malwaru prostřednictvím zosobnění a sociálního inženýrství. Bdělost spolu se silnou digitální hygienou zůstává nejlepší obranou proti takovým klamavým hrozbám.
