Troian SilentRoute
Infractorii cibernetici au găsit din nou o modalitate de a transforma software-ul de încredere în armă, de data aceasta prin crearea unei versiuni troienizate a SSL VPN NetExtender. Această campanie de atac, descoperită de cercetătorii în domeniul securității cibernetice, reprezintă o amenințare serioasă pentru utilizatorii care doresc acces la rețea de la distanță.
Cuprins
Troianul deghizat
În centrul acestei campanii se află o versiune modificată a clientului SSL VPN NetExtender, un instrument legitim conceput pentru a permite utilizatorilor la distanță să se conecteze în siguranță la rețelele companiei. Acesta permite utilizatorilor să ruleze aplicații interne, să acceseze unități partajate și să transfere fișiere ca și cum ar fi prezenți fizic în rețeaua companiei.
Din păcate, un grup de amenințări necunoscut a pus în circulație o versiune falsă a acestui software, injectându-i un malware numit SilentRoute. Odată instalată, această versiune necinstită fură în mod silențios date sensibile de la utilizator.
Cum funcționează atacul
Atacatorii folosesc un site web fals pentru a găzdui programul de instalare NetExtender, deghizat în versiunea legitimă 10.3.2.27. Deși site-ul web a fost dezactivat, se pare că programul de instalare a fost semnat digital de CITYLIGHT MEDIA PRIVATE LIMITED, ceea ce îi conferă o falsă aură de legitimitate.
Victimele sunt probabil atrase să descarce malware-ul prin:
- Site-uri web falsificate care apar în rezultatele căutării prin intoxicație SEO
- E-mailuri de tip spear-phishing cu linkuri rău intenționate
- Campanii de publicitate malicioasă și postări înșelătoare pe rețelele sociale
Odată descărcat, programul de instalare malițios implementează versiuni modificate a două componente critice, NeService.exe și NetExtender.exe, care au fost modificate pentru a ignora validarea certificatelor digitale. Aceste componente exfiltrează discret datele de configurare către un server controlat de atacator la adresa 132.196.198.163:8080.
Ce se fură și cum
După ce utilizatorul introduce datele de autentificare VPN și apasă butonul „Conectare”, troianul efectuează propriile verificări înainte de a transmite datele furate către serverul atacatorului. Informațiile exfiltrate includ:
- Nume de utilizator
- Parolă
- Domeniu
- Detalii server VPN și date de configurare
Aceste informații furate ar putea oferi atacatorilor acces neautorizat la mediile corporative, ceea ce reprezintă o problemă semnificativă de securitate cibernetică.
Concluzii cheie pentru a rămâne protejat
Pentru a evita să devină victime ale unor astfel de amenințări, organizațiile și utilizatorii ar trebui:
- Descărcați instrumente VPN și de acces la distanță doar de pe site-uri web oficiale sau de la furnizori verificați.
- Fiți precauți când faceți clic pe linkuri din e-mailuri, reclame sau rezultate ale căutării, în special pe cele care oferă descărcări de software.
În plus, administratorii de rețea ar trebui să monitorizeze conexiunile de ieșire neobișnuite și să se asigure că sistemele de protecție a endpointurilor sunt actualizate și configurate pentru a detecta executabilele modificate.
Gânduri finale
Campania SilentRoute evidențiază sofisticarea tot mai mare a distribuției de programe malware prin uzurpare de identitate și inginerie socială. Vigilența, împreună cu o igienă digitală strictă, rămâne cea mai bună apărare împotriva unor astfel de amenințări înșelătoare.
