SilentRoute trójai
A kiberbűnözők ismét találtak egy módszert arra, hogy megbízható szoftvereket fegyverként használjanak fel, ezúttal az SSL VPN NetExtender trójai verziójának létrehozásával. Ez a támadási kampány, amelyet kiberbiztonsági kutatók lepleztek le, komoly fenyegetést jelent a távoli hálózati hozzáférést kereső felhasználókra.
Tartalomjegyzék
Az álruhás trójai
A kampány középpontjában az SSL VPN NetExtender kliens módosított változata áll, egy legitim eszköz, amelyet arra terveztek, hogy lehetővé tegye a távoli felhasználók számára a vállalati hálózatokhoz való biztonságos csatlakozást. Lehetővé teszi a felhasználók számára belső alkalmazások futtatását, a megosztott meghajtók elérését és a fájlok átvitelét, mintha fizikailag jelen lennének a vállalati hálózaton.
Sajnos egy ismeretlen támadócsoport terjeszti a szoftver egy hamisított verzióját, amelybe SilentRoute névre keresztelt rosszindulatú programot oltottak be. A telepítés után ez a csaló verzió csendben ellopja a felhasználó bizalmas adatait.
Hogyan működik a támadás
A támadók egy hamis weboldalt használnak a rosszindulatú NetExtender telepítő futtatásához, amely a legitim 10.3.2.27-es verziónak álcázva van. Bár a weboldalt eltávolították, a telepítőt állítólag a CITYLIGHT MEDIA PRIVATE LIMITED digitálisan aláírta, ami hamis hitelesség látszatát keltette.
Az áldozatokat valószínűleg a következő módokon csábítják a rosszindulatú program letöltésére:
- Hamisított weboldalak jelennek meg a keresési eredmények között SEO-mérgezés miatt
- Kártékony linkeket tartalmazó adathalász e-mailek
- Rosszindulatú hirdetési kampányok és félrevezető közösségi média bejegyzések
A letöltést követően a rosszindulatú telepítő két kritikus összetevő, a NeService.exe és a NetExtender.exe módosított verzióit telepíti, amelyeket úgy módosítottak, hogy figyelmen kívül hagyják a digitális tanúsítványok érvényesítését. Ezek az összetevők csendben kiszivárogtatják a konfigurációs adatokat a támadó által ellenőrzött szerverre a 132.196.198.163:8080 címen.
Mit lopnak el és hogyan
Miután a felhasználó megadja VPN-adatait és rákattint a „Csatlakozás” gombra, a trójai saját ellenőrzéseket végez, mielőtt elküldi az ellopott adatokat a támadó szerverére. A kiszivárgott információk a következők:
- Felhasználónév
- Jelszó
- Domain
- VPN-kiszolgáló részletei és konfigurációs adatai
Az ellopott információk jogosulatlan hozzáférést biztosíthatnak a támadóknak a vállalati környezetekhez, ami jelentős kiberbiztonsági aggályt jelent.
A védelem megőrzésének legfontosabb tudnivalói
Az ilyen fenyegetések áldozatává válás elkerülése érdekében a szervezeteknek és a felhasználóknak a következőket kell tenniük:
- Csak hivatalos weboldalakról vagy ellenőrzött gyártóktól töltsön le VPN- és távoli elérési eszközöket.
- Legyen óvatos, amikor e-mailekben, hirdetésekben vagy keresési eredményekben található linkekre kattint, különösen azokra, amelyek szoftverletöltéseket kínálnak.
Ezenkívül a hálózati rendszergazdáknak figyelniük kell a szokatlan kimenő kapcsolatokat, és biztosítaniuk kell, hogy a végpontvédelmi rendszerek naprakészek legyenek és konfigurálva legyenek a manipulált végrehajtható fájlok észlelésére.
Záró gondolatok
A SilentRoute kampány rávilágít a rosszindulatú programok személyazonosság-ellenőrzésen és társadalmi manipuláción keresztüli terjesztésének egyre kifinomultabb jellegére. Az éberség a szigorú digitális higiéniával párosulva továbbra is a legjobb védelem az ilyen megtévesztő fenyegetésekkel szemben.
