SilentRoute-troijalainen
Kyberrikolliset ovat jälleen kerran löytäneet keinon tehdä luotetuista ohjelmistoista aseita, tällä kertaa luomalla troijalaisen version SSL VPN NetExtenderistä. Tämä kyberturvallisuustutkijoiden paljastama hyökkäyskampanja on vakava uhka käyttäjille, jotka haluavat käyttää verkkoa etänä.
Sisällysluettelo
Troijalainen naamioituneena
Tämän kampanjan keskiössä on muunneltu versio SSL VPN NetExtender -asiakasohjelmasta, joka on laillinen työkalu, jonka tarkoituksena on mahdollistaa etäkäyttäjien turvallinen yhteyden muodostaminen yritysverkkoihin. Sen avulla käyttäjät voivat suorittaa sisäisiä sovelluksia, käyttää jaettuja levyjä ja siirtää tiedostoja aivan kuin he olisivat fyysisesti läsnä yrityksen verkossa.
Valitettavasti tuntematon uhkaryhmä on levittänyt väärennettyä versiota tästä ohjelmistosta ja asentanut siihen SilentRoute-nimisen haittaohjelman. Asennuksen jälkeen tämä haavoittuvainen versio varastaa salaa käyttäjän arkaluonteisia tietoja.
Miten hyökkäys toimii
Hyökkääjät käyttävät väärennettyä verkkosivustoa isännöidäkseen haitallista NetExtender-asennusohjelmaa, joka on naamioitu lailliseksi versioksi 10.3.2.27. Vaikka verkkosivusto on poistettu käytöstä, asennusohjelman kerrotaan olevan CITYLIGHT MEDIA PRIVATE LIMITEDin digitaalisesti allekirjoittama, mikä antaa sille väärän kuvan laillisuudesta.
Uhrit todennäköisesti houkutellaan lataamaan haittaohjelma seuraavien kautta:
- Hakutuloksissa näkyvät väärennetyt verkkosivustot hakukoneoptimoinnin kautta
- Keihäshuijaussähköpostit haitallisilla linkeillä
- Haittamainontakampanjat ja harhaanjohtavat sosiaalisen median julkaisut
Latauksen jälkeen haitallinen asennusohjelma asentaa muokatut versiot kahdesta kriittisestä komponentista, NeService.exe:stä ja NetExtender.exe:stä, joita on muutettu ohittamaan digitaalisen varmenteen validointi. Nämä komponentit vuotavat huomaamattomasti määritystietoja hyökkääjän hallitsemalle palvelimelle osoitteessa 132.196.198.163:8080.
Mitä varastetaan ja miten
Kun käyttäjä on syöttänyt VPN-tunnuksensa ja painanut Yhdistä-painiketta, troijalainen suorittaa omat tarkistuksensa ennen varastettujen tietojen lähettämistä hyökkääjän palvelimelle. Varastetut tiedot sisältävät:
- Käyttäjätunnus
- Salasana
- Verkkotunnus
- VPN-palvelimen tiedot ja määritystiedot
Tämä varastettu tieto voi antaa hyökkääjille luvattoman pääsyn yritysympäristöihin, mikä tekee tästä merkittävän kyberturvallisuusriskin.
Tärkeimmät vinkit suojautumiseen
Välttääkseen joutumasta tällaisten uhkien uhriksi organisaatioiden ja käyttäjien tulisi:
- Lataa VPN- ja etäkäyttötyökaluja vain virallisilta verkkosivustoilta tai varmennetuilta toimittajilta.
- Ole varovainen napsauttamalla sähköposteissa, mainoksissa tai hakutuloksissa olevia linkkejä, erityisesti sellaisia, jotka tarjoavat ohjelmistolatauksia.
Lisäksi verkonvalvojien tulisi valvoa epätavallisia lähteviä yhteyksiä ja varmistaa, että päätepisteiden suojausjärjestelmät ovat ajan tasalla ja määritetty havaitsemaan peukaloidut suoritettavat tiedostot.
Loppuajatukset
SilentRoute-kampanja korostaa haittaohjelmien levityksen kasvavaa kehittyneisyyttä henkilöllisyyden anastamisen ja sosiaalisen manipuloinnin avulla. Valppaus yhdistettynä vahvaan digitaaliseen hygieniaan on edelleen paras puolustus tällaisia harhaanjohtavia uhkia vastaan.
