Trojan SilentRoute
Cyberprzestępcy po raz kolejny znaleźli sposób na uzbrojenie zaufanego oprogramowania, tym razem poprzez stworzenie trojanizowanej wersji SSL VPN NetExtender. Ta kampania ataku, odkryta przez badaczy cyberbezpieczeństwa, stanowi poważne zagrożenie dla użytkowników poszukujących zdalnego dostępu do sieci.
Spis treści
Trojan w przebraniu
W centrum tej kampanii znajduje się zmodyfikowana wersja klienta SSL VPN NetExtender, legalnego narzędzia zaprojektowanego w celu umożliwienia zdalnym użytkownikom bezpiecznego łączenia się z sieciami przedsiębiorstw. Umożliwia użytkownikom uruchamianie wewnętrznych aplikacji, dostęp do współdzielonych dysków i przesyłanie plików tak, jakby byli fizycznie obecni w sieci firmowej.
Niestety, nieznana grupa zagrożeń rozpowszechnia fałszywą wersję tego oprogramowania, wstrzykując do niego złośliwe oprogramowanie, które zostało nazwane SilentRoute. Po zainstalowaniu ta nieuczciwa wersja po cichu kradnie poufne dane użytkownika.
Jak działa atak
Napastnicy wykorzystują fałszywą witrynę internetową do hostowania złośliwego instalatora NetExtender, zamaskowanego jako legalna wersja 10.3.2.27. Chociaż witryna została usunięta, instalator został rzekomo podpisany cyfrowo przez CITYLIGHT MEDIA PRIVATE LIMITED, co nadaje mu pozory legalności.
Ofiary są prawdopodobnie wabione do pobrania złośliwego oprogramowania poprzez:
- Fałszywe witryny pojawiające się w wynikach wyszukiwania za pomocą zatruwania SEO
- E-maile typu spear-phishing zawierające złośliwe linki
- Kampanie reklamowe i wprowadzające w błąd posty w mediach społecznościowych
Po pobraniu złośliwy instalator wdraża zmodyfikowane wersje dwóch krytycznych komponentów, NeService.exe i NetExtender.exe, które zostały zmienione tak, aby ignorowały walidację certyfikatu cyfrowego. Te komponenty dyskretnie eksfiltrują dane konfiguracyjne na kontrolowany przez atakującego serwer pod adresem 132.196.198.163:8080.
Co zostaje skradzione i w jaki sposób
Po wprowadzeniu przez użytkownika danych uwierzytelniających VPN i kliknięciu przycisku „Połącz”, trojan przeprowadza własne kontrole przed przesłaniem skradzionych danych na serwer atakującego. Wykradzione informacje obejmują:
- Nazwa użytkownika
- Hasło
- Domena
- Szczegóły serwera VPN i dane konfiguracyjne
Skradzione informacje mogą umożliwić atakującym uzyskanie nieautoryzowanego dostępu do środowisk korporacyjnych, co stanowi poważne zagrożenie dla cyberbezpieczeństwa.
Najważniejsze informacje dotyczące zachowania ochrony
Aby uniknąć stania się ofiarą takich zagrożeń, organizacje i użytkownicy powinni:
- Pobieraj VPN-y i narzędzia do zdalnego dostępu wyłącznie z oficjalnych stron internetowych lub od sprawdzonych dostawców.
- Należy zachować ostrożność klikając na linki zawarte w wiadomościach e-mail, reklamach i wynikach wyszukiwania, zwłaszcza te oferujące pobranie oprogramowania.
Ponadto administratorzy sieci powinni monitorować nietypowe połączenia wychodzące i upewnić się, że systemy ochrony punktów końcowych są aktualne i skonfigurowane w taki sposób, aby wykrywać zmodyfikowane pliki wykonywalne.
Ostatnie myśli
Kampania SilentRoute podkreśla rosnącą wyrafinowaną dystrybucję złośliwego oprogramowania poprzez podszywanie się i inżynierię społeczną. Czujność w połączeniu z silną higieną cyfrową pozostaje najlepszą obroną przed takimi zwodniczymi zagrożeniami.
