Троян SilentRoute
Киберпреступники снова нашли способ превратить доверенное программное обеспечение в оружие, на этот раз создав троянизированную версию SSL VPN NetExtender. Эта кампания атак, раскрытая исследователями кибербезопасности, представляет серьезную угрозу для пользователей, ищущих удаленный доступ к сети.
Оглавление
Замаскированный троянец
В центре этой кампании находится модифицированная версия клиента SSL VPN NetExtender, легитимного инструмента, разработанного для того, чтобы позволить удаленным пользователям безопасно подключаться к корпоративным сетям. Он позволяет пользователям запускать внутренние приложения, получать доступ к общим дискам и передавать файлы, как будто они физически присутствуют в корпоративной сети.
К сожалению, неизвестная группа угроз распространяет поддельную версию этого программного обеспечения, внедряя в него вредоносное ПО, получившее название SilentRoute. После установки эта мошенническая версия незаметно крадет конфиденциальные данные пользователя.
Как работает атака
Атакующие используют поддельный веб-сайт для размещения вредоносного установщика NetExtender, замаскированного под легитимную версию 10.3.2.27. Хотя веб-сайт был удален, установщик, как сообщается, был подписан цифровой подписью CITYLIGHT MEDIA PRIVATE LIMITED, что придало ему ложный вид легитимности.
Вероятно, жертв склоняют к загрузке вредоносного ПО следующими способами:
- Поддельные веб-сайты, появляющиеся в результатах поиска из-за SEO-отражения
- Фишинговые письма с вредоносными ссылками
- Вредоносные рекламные кампании и вводящие в заблуждение сообщения в социальных сетях
После загрузки вредоносный установщик развертывает измененные версии двух критических компонентов, NeService.exe и NetExtender.exe, которые были изменены для игнорирования проверки цифровых сертификатов. Эти компоненты незаметно выкачивают данные конфигурации на контролируемый злоумышленником сервер по адресу 132.196.198.163:8080.
Что и как крадут
После того, как пользователь вводит свои учетные данные VPN и нажимает кнопку «Подключиться», троян выполняет собственные проверки, прежде чем передать украденные данные на сервер злоумышленника. Извлеченная информация включает в себя:
- Имя пользователя
- Пароль
- Домен
- Подробная информация о VPN-сервере и данные конфигурации
Украденная информация может предоставить злоумышленникам несанкционированный доступ к корпоративной среде, что делает это серьезной проблемой кибербезопасности.
Ключевые выводы, как оставаться защищенным
Чтобы не стать жертвой подобных угроз, организациям и пользователям следует:
- Загружайте VPN и инструменты удаленного доступа только с официальных сайтов или от проверенных поставщиков.
- Будьте осторожны, нажимая на ссылки в электронных письмах, рекламных объявлениях или результатах поиска, особенно те, которые предлагают загрузку программного обеспечения.
Кроме того, сетевые администраторы должны отслеживать необычные исходящие соединения и следить за тем, чтобы системы защиты конечных точек были обновлены и настроены на обнаружение поддельных исполняемых файлов.
Заключительные мысли
Кампания SilentRoute подчеркивает растущую изощренность распространения вредоносного ПО посредством маскировки и социальной инженерии. Бдительность в сочетании с сильной цифровой гигиеной остается лучшей защитой от таких обманчивых угроз.
