Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare SilentRoute Trojan

SilentRoute Trojan

Med Mezo i Skadelig programvare, Trojanere
Oversett til:

Nettkriminelle har nok en gang funnet en måte å utnytte pålitelig programvare som våpen, denne gangen ved å lage en trojansk versjon av SSL VPN NetExtender. Denne angrepskampanjen, avdekket av nettsikkerhetsforskere, utgjør en alvorlig trussel mot brukere som søker ekstern nettverkstilgang.

Trojaneren i forkledning

I sentrum av denne kampanjen står en modifisert versjon av SSL VPN NetExtender-klienten, et legitimt verktøy som er utviklet for å la eksterne brukere koble seg sikkert til bedriftsnettverk. Det lar brukere kjøre interne applikasjoner, få tilgang til delte disker og overføre filer som om de fysisk var tilstede på bedriftsnettverket.

Dessverre har en ukjent trusselgruppe sirkulert en falsk versjon av denne programvaren, og injisert den med skadelig programvare kalt SilentRoute. Når den er installert, stjeler denne falske versjonen i stillhet sensitive data fra brukeren.

Hvordan angrepet fungerer

Angriperne bruker et falskt nettsted for å være vert for det ondsinnede NetExtender-installasjonsprogrammet, forkledd som den legitime versjonen 10.3.2.27. Selv om nettstedet er fjernet, skal installasjonsprogrammet ha blitt digitalt signert av CITYLIGHT MEDIA PRIVATE LIMITED, noe som gir det et falskt preg av legitimitet.

Ofrene blir sannsynligvis lokket til å laste ned skadevaren gjennom:

  • Forfalskede nettsteder som vises i søkeresultatene via SEO-forgiftning
  • Spear-phishing-e-poster med ondsinnede lenker
  • Skadelig reklamekampanjer og villedende innlegg på sosiale medier

Når den er nedlastet, distribuerer det ondsinnede installasjonsprogrammet modifiserte versjoner av to kritiske komponenter, NeService.exe og NetExtender.exe, som er endret for å ignorere validering av digitale sertifikater. Disse komponentene ekspanderer i stillhet konfigurasjonsdata til en angriperkontrollert server på 132.196.198.163:8080.

Hva blir stjålet og hvordan

Etter at brukeren har skrevet inn VPN-legitimasjonen sin og trykket på «Koble til»-knappen, utfører trojaneren sine egne kontroller før den overfører de stjålne dataene til angriperens server. Den stjålne informasjonen inkluderer:

  • Brukernavn
  • Passord
  • Domene
  • VPN-serverdetaljer og konfigurasjonsdata

Denne stjålne informasjonen kan gi angriperne uautorisert tilgang til bedriftsmiljøer, noe som gjør dette til et betydelig cybersikkerhetsproblem.

Viktige ting å ta med seg for å holde seg beskyttet

For å unngå å bli ofre for slike trusler, bør organisasjoner og brukere:

  • Last kun ned VPN- og fjerntilgangsverktøy fra offisielle nettsteder eller verifiserte leverandører.
  • Vær forsiktig når du klikker på lenker i e-poster, annonser eller søkeresultater, spesielt de som tilbyr programvarenedlastinger.

I tillegg bør nettverksadministratorer overvåke uvanlige utgående tilkoblinger og sørge for at endepunktbeskyttelsessystemer er oppdaterte og konfigurert til å oppdage manipulerte kjørbare filer.

Avsluttende tanker

SilentRoute-kampanjen fremhever den økende sofistikasjonen innen distribusjon av skadelig programvare gjennom etterligning og sosial manipulering. Årvåkenhet, kombinert med god digital hygiene, er fortsatt det beste forsvaret mot slike villedende trusler.

Trender

Mest sett

Laster inn...