Rabattilbud med flere licenser
Trusseldatabase Malware SilentRoute Trojan

SilentRoute Trojan

Med Mezo i Malware, Trojanske heste
Oversæt til:

Cyberkriminelle har endnu engang fundet en måde at udnytte pålidelig software som våben, denne gang ved at skabe en trojansk version af SSL VPN NetExtender. Denne angrebskampagne, som er blevet afsløret af cybersikkerhedsforskere, udgør en alvorlig trussel mod brugere, der søger fjernadgang til netværket.

Trojaneren i forklædning

I centrum for denne kampagne er en modificeret version af SSL VPN NetExtender-klienten, et legitimt værktøj designet til at give eksterne brugere mulighed for sikkert at oprette forbindelse til virksomhedsnetværk. Det gør det muligt for brugerne at køre interne applikationer, få adgang til delte drev og overføre filer, som om de fysisk var til stede på virksomhedens netværk.

Desværre har en ukendt trusselgruppe cirkuleret en falsk version af denne software og injiceret den med malware, der er blevet døbt SilentRoute. Når den er installeret, stjæler denne falske version i al hemmelighed følsomme data fra brugeren.

Sådan fungerer angrebet

Angriberne bruger en falsk hjemmeside til at hoste det ondsindede NetExtender-installationsprogram, forklædt som den legitime version 10.3.2.27. Selvom hjemmesiden er blevet fjernet, blev installationsprogrammet angiveligt digitalt signeret af CITYLIGHT MEDIA PRIVATE LIMITED, hvilket giver det et falsk præg af legitimitet.

Ofrene bliver sandsynligvis lokket til at downloade malwaren via:

  • Forfalskede hjemmesider vises i søgeresultater via SEO-forgiftning
  • Spear-phishing-e-mails med ondsindede links
  • Malvertising-kampagner og vildledende opslag på sociale medier

Når den ondsindede installationssoftware er downloadet, installerer den modificerede versioner af to kritiske komponenter, NeService.exe og NetExtender.exe, som er blevet ændret til at ignorere validering af digitale certifikater. Disse komponenter overfører i al hemmelighed konfigurationsdata til en angriberkontrolleret server på adressen 132.196.198.163:8080.

Hvad bliver stjålet og hvordan

Når brugeren har indtastet sine VPN-oplysninger og trykket på knappen 'Opret forbindelse', udfører trojaneren sine egne kontroller, før den sender de stjålne data til angriberens server. De stjålne oplysninger omfatter:

  • Brugernavn
  • Adgangskode
  • Domæne
  • VPN-serverdetaljer og konfigurationsdata

Disse stjålne oplysninger kan give angriberne uautoriseret adgang til virksomhedsmiljøer, hvilket gør dette til en betydelig cybersikkerhedsrisiko.

Vigtige ting at tage med sig for at forblive beskyttet

For at undgå at blive ofre for sådanne trusler bør organisationer og brugere:

  • Download kun VPN- og fjernadgangsværktøjer fra officielle websteder eller verificerede leverandører.
  • Vær forsigtig, når du klikker på links i e-mails, annoncer eller søgeresultater, især dem, der tilbyder softwaredownloads.

Derudover bør netværksadministratorer overvåge usædvanlige udgående forbindelser og sikre, at endpoint-beskyttelsessystemer er opdaterede og konfigureret til at detektere manipulerede eksekverbare filer.

Afsluttende tanker

SilentRoute-kampagnen fremhæver den voksende sofistikering af malware-distribution gennem personefterligning og social engineering. Årvågenhed kombineret med stærk digital hygiejne er fortsat det bedste forsvar mod sådanne vildledende trusler.

Trending

Mest sete

Indlæser...