SilentRoute trojanac
Kibernetički kriminalci ponovno su pronašli način da oružjem iskoriste pouzdani softver, ovaj put stvaranjem trojanske verzije SSL VPN NetExtendera. Ova napadačka kampanja, koju su otkrili istraživači kibernetičke sigurnosti, predstavlja ozbiljnu prijetnju korisnicima koji traže udaljeni pristup mreži.
Sadržaj
Trojanac u prerušavanju
U središtu ove kampanje je modificirana verzija SSL VPN NetExtender klijenta, legitimnog alata osmišljenog kako bi udaljenim korisnicima omogućio sigurno povezivanje s poslovnim mrežama. Omogućuje korisnicima pokretanje internih aplikacija, pristup dijeljenim diskovima i prijenos datoteka kao da su fizički prisutni na mreži tvrtke.
Nažalost, nepoznata prijetnjačka skupina kruži lažnom verzijom ovog softvera, ubrizgavajući u njega zlonamjerni softver nazvan SilentRoute. Nakon instalacije, ova lažna verzija tiho krade osjetljive podatke od korisnika.
Kako napad funkcionira
Napadači koriste lažnu web stranicu za hostiranje zlonamjernog instalacijskog programa NetExtendera, prikrivenog kao legitimna verzija 10.3.2.27. Iako je web stranica uklonjena, instalacijski program je navodno digitalno potpisao CITYLIGHT MEDIA PRIVATE LIMITED, što mu daje lažni privid legitimnosti.
Žrtve se vjerojatno namamljuju na preuzimanje zlonamjernog softvera putem:
- Lažne web stranice koje se pojavljuju u rezultatima pretraživanja putem SEO trovanja
- E-poruke za krađu identiteta (spear phishing) sa zlonamjernim poveznicama
- Zlonamjerne reklamne kampanje i obmanjujuće objave na društvenim mrežama
Nakon preuzimanja, zlonamjerni instalacijski program instalira modificirane verzije dviju kritičnih komponenti, NeService.exe i NetExtender.exe, koje su izmijenjene tako da ignoriraju provjeru valjanosti digitalnog certifikata. Ove komponente tiho izvlače konfiguracijske podatke na poslužitelj kojim upravlja napadač na adresi 132.196.198.163:8080.
Što se krade i kako
Nakon što korisnik unese svoje VPN podatke i pritisne gumb 'Poveži se', trojanac provodi vlastite provjere prije nego što prenese ukradene podatke na napadačev poslužitelj. Ukradene informacije uključuju:
- Korisničko ime
- Lozinka
- Domena
- Detalji VPN poslužitelja i podaci o konfiguraciji
Ove ukradene informacije mogle bi napadačima omogućiti neovlašteni pristup korporativnim okruženjima, što to čini značajnim problemom za kibernetičku sigurnost.
Ključne stvari za očuvanje zaštite
Kako bi izbjegli postati žrtve takvih prijetnji, organizacije i korisnici trebali bi:
- VPN i alate za udaljeni pristup preuzimajte samo s službenih web stranica ili od provjerenih dobavljača.
- Budite oprezni prilikom klikanja na poveznice u e-porukama, oglasima ili rezultatima pretraživanja, posebno one koje nude preuzimanje softvera.
Osim toga, mrežni administratori trebali bi pratiti neuobičajene odlazne veze i osigurati da su sustavi zaštite krajnjih točaka ažurirani i konfigurirani za otkrivanje neovlaštenih izvršnih datoteka.
Završne misli
Kampanja SilentRoute ističe rastuću sofisticiranost distribucije zlonamjernog softvera putem lažnog predstavljanja i društvenog inženjeringa. Budnost, u kombinaciji sa snažnom digitalnom higijenom, ostaje najbolja obrana od takvih prijevarnih prijetnji.
