Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware SilentRoute Trojan

SilentRoute Trojan

Tegen Mezo in Malware, Trojanen
Vertalen naar:

Cybercriminelen hebben opnieuw een manier gevonden om vertrouwde software te misbruiken als wapen, dit keer door een trojanversie van SSL VPN NetExtender te creëren. Deze aanvalscampagne, ontdekt door cybersecurityonderzoekers, vormt een ernstige bedreiging voor gebruikers die op afstand toegang tot het netwerk willen.

De Trojaan in Vermomming

Centraal in deze campagne staat een aangepaste versie van de SSL VPN NetExtender-client, een legitieme tool waarmee externe gebruikers veilig verbinding kunnen maken met bedrijfsnetwerken. Hiermee kunnen gebruikers interne applicaties draaien, toegang krijgen tot gedeelde schijven en bestanden overbrengen alsof ze fysiek aanwezig zijn op het bedrijfsnetwerk.

Helaas verspreidt een onbekende groep cybercriminelen een nepversie van deze software, die is voorzien van malware genaamd SilentRoute. Na installatie steelt deze malafide versie ongemerkt gevoelige gegevens van de gebruiker.

Hoe de aanval werkt

De aanvallers gebruiken een nepwebsite om het schadelijke NetExtender-installatieprogramma te hosten, vermomd als de legitieme versie 10.3.2.27. Hoewel de website offline is, zou het installatieprogramma digitaal ondertekend zijn door CITYLIGHT MEDIA PRIVATE LIMITED, waardoor het een vals vermoeden van authenticiteit wekt.

Slachtoffers worden waarschijnlijk verleid tot het downloaden van de malware via:

  • Vervalste websites verschijnen in zoekresultaten via SEO-vergiftiging
  • Spearphishing-e-mails met kwaadaardige links
  • Malvertisingcampagnes en misleidende berichten op sociale media

Na het downloaden installeert de kwaadaardige installer aangepaste versies van twee cruciale componenten, NeService.exe en NetExtender.exe, die zo zijn aangepast dat ze de validatie van digitale certificaten negeren. Deze componenten exfiltreren onopvallend configuratiegegevens naar een door de aanvaller beheerde server op 132.196.198.163:8080.

Wat wordt gestolen en hoe?

Nadat de gebruiker zijn VPN-gegevens heeft ingevoerd en op de knop 'Verbinden' heeft geklikt, voert de trojan zelf controles uit voordat de gestolen gegevens naar de server van de aanvaller worden verzonden. De geëxfiltreerde informatie omvat:

  • Gebruikersnaam
  • Wachtwoord
  • Domein
  • VPN-servergegevens en configuratiegegevens

Deze gestolen informatie kan aanvallers ongeautoriseerde toegang geven tot bedrijfsomgevingen, waardoor dit een groot probleem voor de cyberbeveiliging is.

Belangrijkste aandachtspunten om beschermd te blijven

Om te voorkomen dat ze het slachtoffer worden van dergelijke bedreigingen, moeten organisaties en gebruikers:

  • Download alleen VPN- en externe toegangstools van officiële websites of geverifieerde leveranciers.
  • Wees voorzichtig met het klikken op links in e-mails, advertenties of zoekresultaten, vooral als deze links aanbieden om software te downloaden.

Daarnaast moeten netwerkbeheerders toezicht houden op ongebruikelijke uitgaande verbindingen en ervoor zorgen dat endpoint protection-systemen up-to-date zijn en zo zijn geconfigureerd dat ze gemanipuleerde uitvoerbare bestanden detecteren.

Laatste gedachten

De SilentRoute-campagne benadrukt de toenemende verfijning van de verspreiding van malware via imitatie en social engineering. Waakzaamheid, gecombineerd met een sterke digitale hygiëne, blijft de beste verdediging tegen dergelijke misleidende dreigingen.

Trending

Meest bekeken

Bezig met laden...