Trojan SilentRoute

Por Mezo em Malware, Troianos

Traduzir Para:

Cibercriminosos mais uma vez encontraram uma maneira de usar softwares confiáveis como arma, desta vez criando uma versão trojanizada do SSL VPN NetExtender. Essa campanha de ataque, descoberta por pesquisadores de segurança cibernética, representa uma séria ameaça aos usuários que buscam acesso remoto à rede.

Índice

O troiano disfarçado

No centro desta campanha está uma versão modificada do cliente SSL VPN NetExtender, uma ferramenta legítima projetada para permitir que usuários remotos se conectem com segurança a redes corporativas. Ela permite que os usuários executem aplicativos internos, acessem unidades compartilhadas e transfiram arquivos como se estivessem fisicamente presentes na rede da empresa.

Infelizmente, um grupo de ameaças desconhecido tem circulado uma versão falsa deste software, injetando nele um malware chamado SilentRoute. Uma vez instalada, essa versão desonesta rouba silenciosamente dados confidenciais do usuário.

Como funciona o ataque

Os invasores estão usando um site falso para hospedar o instalador malicioso do NetExtender, disfarçado como a versão legítima 10.3.2.27. Embora o site tenha sido removido, o instalador teria sido assinado digitalmente pela CITYLIGHT MEDIA PRIVATE LIMITED, o que lhe dá uma falsa aparência de legitimidade.

As vítimas provavelmente estão sendo atraídas para baixar o malware por meio de:

Sites falsos aparecendo nos resultados de pesquisa por envenenamento de SEO
E-mails de spear-phishing com links maliciosos
Campanhas de malvertising e postagens enganosas em mídias sociais

Após o download, o instalador malicioso implanta versões modificadas de dois componentes críticos, NeService.exe e NetExtender.exe, que foram alterados para ignorar a validação do certificado digital. Esses componentes secretam silenciosamente os dados de configuração para um servidor controlado pelo invasor em 132.196.198.163:8080.

O que é roubado e como

Após o usuário inserir suas credenciais de VPN e clicar no botão "Conectar", o trojan realiza suas próprias verificações antes de transmitir os dados roubados ao servidor do invasor. As informações extraídas incluem:

Nome de usuário
Senha
Domínio
Detalhes do servidor VPN e dados de configuração

Essas informações roubadas podem conceder aos invasores acesso não autorizado a ambientes corporativos, o que torna isso uma preocupação significativa de segurança cibernética.

Principais dicas para se manter protegido

Para evitar serem vítimas de tais ameaças, organizações e usuários devem:

Baixe VPN e ferramentas de acesso remoto somente de sites oficiais ou fornecedores verificados.
Tenha cuidado ao clicar em links em e-mails, anúncios ou resultados de pesquisa, especialmente aqueles que oferecem downloads de software.

Além disso, os administradores de rede devem monitorar conexões de saída incomuns e garantir que os sistemas de proteção de endpoint estejam atualizados e configurados para detectar executáveis adulterados.

Considerações finais

A campanha SilentRoute destaca a crescente sofisticação da distribuição de malware por meio de falsificação de identidade e engenharia social. A vigilância, aliada a uma higiene digital rigorosa, continua sendo a melhor defesa contra essas ameaças enganosas.

O Pedido de Falência da Processadora de Pagamentos Digitais River GmbH do EnigmaSoft não Afeta a Proteção Anti-Malware dos Clientes do SpyHunter

Buscar

Mudar de região

Trojan SilentRoute

O troiano disfarçado

Como funciona o ataque

O que é roubado e como

Principais dicas para se manter protegido

Considerações finais

Enviar o Comentário

Tendendo

Fiveminutes.biz

Dersinstion.com

Search-Mgr

Mais visto

Como Corrigir o Erro 'Driver da Impressora...

O Discord Exibe uma Tela Preta ao Compartilhar a Tela

O Discord está Preso na Tela Cinza