Trojan SilentRoute
I criminali informatici hanno ancora una volta trovato il modo di sfruttare software affidabili, questa volta creando una versione trojanizzata di SSL VPN NetExtender. Questa campagna di attacco, scoperta dai ricercatori di sicurezza informatica, rappresenta una seria minaccia per gli utenti che cercano l'accesso remoto alla rete.
Sommario
Il Troiano travestito
Al centro di questa campagna c'è una versione modificata del client SSL VPN NetExtender, uno strumento legittimo progettato per consentire agli utenti remoti di connettersi in modo sicuro alle reti aziendali. Permette agli utenti di eseguire applicazioni interne, accedere a unità condivise e trasferire file come se fossero fisicamente presenti sulla rete aziendale.
Purtroppo, un gruppo di cybercriminali ignoto ha diffuso una versione fasulla di questo software, iniettandovi un malware chiamato SilentRoute. Una volta installata, questa versione fraudolenta ruba silenziosamente dati sensibili dell'utente.
Come funziona l’attacco
Gli aggressori utilizzano un sito web falso per ospitare il programma di installazione dannoso di NetExtender, camuffato da versione legittima 10.3.2.27. Sebbene il sito web sia stato rimosso, il programma di installazione sarebbe stato firmato digitalmente da CITYLIGHT MEDIA PRIVATE LIMITED, il che gli conferisce una falsa apparenza di legittimità.
È probabile che le vittime vengano indotte a scaricare il malware tramite:
- Siti web falsificati che compaiono nei risultati di ricerca tramite avvelenamento SEO
- E-mail di spear-phishing con link dannosi
- Campagne di malvertising e post fuorvianti sui social media
Una volta scaricato, il programma di installazione dannoso distribuisce versioni modificate di due componenti critici, NeService.exe e NetExtender.exe, che sono stati modificati per ignorare la convalida del certificato digitale. Questi componenti esfiltrano silenziosamente i dati di configurazione su un server controllato dall'aggressore all'indirizzo 132.196.198.163:8080.
Cosa viene rubato e come
Dopo che l'utente ha inserito le proprie credenziali VPN e premuto il pulsante "Connetti", il trojan esegue i propri controlli prima di trasmettere i dati rubati al server dell'aggressore. Le informazioni esfiltrate includono:
- Nome utente
- Password
- Dominio
- Dettagli del server VPN e dati di configurazione
Queste informazioni rubate potrebbero garantire agli aggressori un accesso non autorizzato agli ambienti aziendali, il che costituisce un problema significativo per la sicurezza informatica.
Punti chiave per rimanere protetti
Per evitare di cadere vittime di tali minacce, le organizzazioni e gli utenti dovrebbero:
- Scarica gli strumenti VPN e di accesso remoto solo da siti Web ufficiali o da fornitori verificati.
- Siate prudenti quando cliccate sui link presenti nelle e-mail, negli annunci pubblicitari o nei risultati di ricerca, in particolar modo quelli che offrono il download di software.
Inoltre, gli amministratori di rete devono monitorare le connessioni in uscita insolite e assicurarsi che i sistemi di protezione degli endpoint siano aggiornati e configurati per rilevare i file eseguibili manomessi.
Considerazioni finali
La campagna SilentRoute evidenzia la crescente sofisticazione della distribuzione di malware attraverso l'impersonificazione e l'ingegneria sociale. La vigilanza, unita a una solida igiene digitale, rimane la migliore difesa contro queste minacce ingannevoli.
