قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار تروجان SilentRoute

تروجان SilentRoute

تا Mezo در بدافزار, تروجان ها
ترجمه به:

مجرمان سایبری بار دیگر راهی برای سوءاستفاده از نرم‌افزارهای معتبر پیدا کرده‌اند، این بار با ایجاد یک نسخه تروجان‌شده از SSL VPN NetExtender. این کمپین حمله که توسط محققان امنیت سایبری کشف شده است، تهدیدی جدی برای کاربرانی است که به دنبال دسترسی از راه دور به شبکه هستند.

تروجان در لباس مبدل

در مرکز این کمپین، یک نسخه اصلاح‌شده از کلاینت SSL VPN NetExtender قرار دارد، ابزاری قانونی که برای اتصال امن کاربران از راه دور به شبکه‌های سازمانی طراحی شده است. این ابزار به کاربران امکان می‌دهد برنامه‌های داخلی را اجرا کنند، به درایوهای اشتراکی دسترسی داشته باشند و فایل‌ها را منتقل کنند، گویی که از نظر فیزیکی در شبکه شرکت حضور دارند.

متأسفانه، یک گروه تهدید ناشناس نسخه‌ای جعلی از این نرم‌افزار را منتشر کرده و بدافزاری به نام SilentRoute را به آن تزریق کرده است. این نسخه مخرب پس از نصب، بی‌سروصدا داده‌های حساس کاربر را سرقت می‌کند.

نحوه‌ی عملکرد حمله

مهاجمان از یک وب‌سایت جعلی برای میزبانی نصب‌کننده‌ی مخرب NetExtender استفاده می‌کنند که خود را به عنوان نسخه‌ی قانونی ۱۰.۳.۲.۲۷ جا زده است. اگرچه این وب‌سایت از دسترس خارج شده است، اما طبق گزارش‌ها، نصب‌کننده به صورت دیجیتالی توسط CITYLIGHT MEDIA PRIVATE LIMITED امضا شده است که به آن ظاهری جعلی از مشروعیت می‌بخشد.

قربانیان احتمالاً از طریق موارد زیر برای دانلود بدافزار فریب می‌خورند:

  • وب‌سایت‌های جعلی که از طریق مسمومیت سئو در نتایج جستجو ظاهر می‌شوند
  • ایمیل‌های فیشینگ هدفمند حاوی لینک‌های مخرب
  • کمپین‌های تبلیغاتی مخرب و پست‌های گمراه‌کننده در رسانه‌های اجتماعی

پس از دانلود، نصب‌کننده‌ی مخرب نسخه‌های اصلاح‌شده‌ای از دو مؤلفه‌ی حیاتی NeService.exe و NetExtender.exe را مستقر می‌کند که برای نادیده گرفتن اعتبارسنجی گواهی دیجیتال تغییر یافته‌اند. این مؤلفه‌ها بی‌سروصدا داده‌های پیکربندی را به یک سرور تحت کنترل مهاجم در آدرس ۱۳۲.۱۹۶.۱۹۸.۱۶۳:۸۰۸۰ ارسال می‌کنند.

چه چیزی و چگونه دزدیده می‌شود؟

پس از اینکه کاربر اطلاعات VPN خود را وارد کرده و دکمه «اتصال» را فشار می‌دهد، تروجان قبل از انتقال داده‌های سرقت شده به سرور مهاجم، بررسی‌های خود را انجام می‌دهد. اطلاعات استخراج شده شامل موارد زیر است:

  • نام کاربری
  • رمز عبور
  • دامنه
  • جزئیات سرور VPN و داده‌های پیکربندی

این اطلاعات سرقت شده می‌تواند به مهاجمان دسترسی غیرمجاز به محیط‌های سازمانی بدهد و این موضوع را به یک نگرانی مهم در حوزه امنیت سایبری تبدیل کند.

نکات کلیدی برای محافظت از خود

برای جلوگیری از قربانی شدن در برابر چنین تهدیداتی، سازمان‌ها و کاربران باید:

  • فقط VPN و ابزارهای دسترسی از راه دور را از وب‌سایت‌های رسمی یا فروشندگان تأیید شده دانلود کنید.
  • هنگام کلیک روی لینک‌های موجود در ایمیل‌ها، تبلیغات یا نتایج جستجو، به خصوص آن‌هایی که دانلود نرم‌افزار ارائه می‌دهند، محتاط باشید.

علاوه بر این، مدیران شبکه باید اتصالات خروجی غیرمعمول را رصد کنند و اطمینان حاصل کنند که سیستم‌های محافظت از نقاط پایانی به‌روز و پیکربندی شده‌اند تا فایل‌های اجرایی دستکاری‌شده را شناسایی کنند.

نکات پایانی

کمپین SilentRoute پیچیدگی رو به رشد توزیع بدافزار از طریق جعل هویت و مهندسی اجتماعی را برجسته می‌کند. هوشیاری، همراه با بهداشت دیجیتال قوی، همچنان بهترین دفاع در برابر چنین تهدیدات فریبنده‌ای است.

پرطرفدار

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
35,279
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...