Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara SilentRoute'i troojalane

SilentRoute'i troojalane

Aastaks Mezo aastal Pahavara, Troojalased
Tõlgi:

Küberkurjategijad on taas leidnud viisi usaldusväärse tarkvara relvaks muutmiseks, seekord luues SSL VPN NetExtenderi trooja nakatatud versiooni. See küberjulgeolekuuurijate poolt paljastatud rünnakukampaania kujutab endast tõsist ohtu kasutajatele, kes otsivad võrgule kaugjuurdepääsu.

Varjatud troojalane

Selle kampaania keskmes on SSL VPN NetExtenderi kliendi modifitseeritud versioon – legitiimne tööriist, mis on loodud selleks, et võimaldada kaugkasutajatel turvaliselt ettevõtte võrkudega ühenduda. See võimaldab kasutajatel käivitada sisemisi rakendusi, pääseda juurde jagatud draividele ja edastada faile nii, nagu nad oleksid füüsiliselt ettevõtte võrgus kohal.

Kahjuks on tundmatu pahavararühmitus levitanud selle tarkvara võltsitud versiooni, mis on süstinud sellesse pahavara nimega SilentRoute. Pärast installimist varastab see petturlik versioon märkamatult kasutaja tundlikke andmeid.

Kuidas rünnak toimib

Ründajad kasutavad pahatahtliku NetExtenderi installija majutamiseks võltsitud veebisaiti, mis on maskeeritud legitiimseks versiooniks 10.3.2.27. Kuigi veebisait on suletud, oli installija väidetavalt digitaalselt allkirjastatud CITYLIGHT MEDIA PRIVATE LIMITED poolt, andes sellele vale mulje legitiimsusest.

Ohvreid meelitatakse pahavara allalaadimiseks tõenäoliselt järgmiselt:

  • Võltsitud veebisaidid ilmuvad otsingutulemustes SEO-mürgituse kaudu
  • Pahatahtlike linkidega andmepüügimeilid
  • Pahatahtliku reklaami kampaaniad ja eksitavad sotsiaalmeedia postitused

Pärast allalaadimist installib pahatahtlik installiprogramm kahe kriitilise komponendi, NeService.exe ja NetExtender.exe, modifitseeritud versioonid, mida on muudetud digitaalsete sertifikaatide valideerimist ignoreerima. Need komponendid filtreerivad vaikselt konfiguratsiooniandmeid ründaja kontrollitavasse serverisse aadressil 132.196.198.163:8080.

Mis varastatakse ja kuidas

Pärast seda, kui kasutaja on sisestanud oma VPN-i sisselogimisandmed ja vajutanud nuppu „Ühenda”, teeb troojalane enne varastatud andmete ründaja serverisse edastamist oma kontrollid. Väljafiltreeritud teave sisaldab:

  • Kasutajanimi
  • Parool
  • Domeen
  • VPN-serveri üksikasjad ja konfiguratsiooniandmed

See varastatud teave võib anda ründajatele volitamata juurdepääsu ettevõtte keskkondadele, muutes selle oluliseks küberturvalisuse probleemiks.

Peamised sammud kaitstuna püsimiseks

Selliste ohtude ohvriks langemise vältimiseks peaksid organisatsioonid ja kasutajad:

  • Laadige VPN-i ja kaugjuurdepääsu tööriistu alla ainult ametlikelt veebisaitidelt või kontrollitud müüjatelt.
  • Olge ettevaatlik e-kirjades, reklaamides või otsingutulemustes olevatele linkidele klõpsamisel, eriti nendele, mis pakuvad tarkvara allalaadimist.

Lisaks peaksid võrguadministraatorid jälgima ebatavalisi väljaminevaid ühendusi ja tagama, et lõpp-punkti kaitsesüsteemid on ajakohased ja konfigureeritud tuvastama manipuleeritud käivitatavaid faile.

Lõppmõtted

SilentRoute'i kampaania toob esile pahavara levitamise üha keerukama vormi, kasutades selleks isiku tuvastamist ja sotsiaalset manipuleerimist. Valvsus koos tugeva digitaalse hügieeniga on endiselt parim kaitse selliste petlike ohtude vastu.

Trendikas

Enim vaadatud

Laadimine...