Trójsky kôň SilentRoute

Kyberzločinci opäť našli spôsob, ako zneužiť dôveryhodný softvér, tentoraz vytvorením trójskej verzie SSL VPN NetExtender. Táto útočná kampaň, ktorú odhalili výskumníci v oblasti kybernetickej bezpečnosti, predstavuje vážnu hrozbu pre používateľov, ktorí hľadajú vzdialený prístup k sieti.

Trójsky kôň v prestrojení

V centre tejto kampane je upravená verzia klienta SSL VPN NetExtender, legitímneho nástroja určeného na bezpečné pripojenie vzdialených používateľov k podnikovým sieťam. Umožňuje používateľom spúšťať interné aplikácie, pristupovať k zdieľaným diskom a prenášať súbory, akoby boli fyzicky prítomní v podnikovej sieti.

Neznáma skupina kybernetických útokov bohužiaľ šírila falošnú verziu tohto softvéru, do ktorej vstrekla malvér s názvom SilentRoute. Po nainštalovaní táto podvodná verzia potichu kradne citlivé údaje od používateľa.

Ako útok funguje

Útočníci používajú falošnú webovú stránku na hosťovanie škodlivého inštalátora NetExtender, maskovaného ako legitímna verzia 10.3.2.27. Hoci bola webová stránka odstránená, inštalátor bol údajne digitálne podpísaný spoločnosťou CITYLIGHT MEDIA PRIVATE LIMITED, čo mu dodáva falošný dojem legitímnosti.

Obete sú pravdepodobne nalákané na stiahnutie malvéru prostredníctvom:

• Falošné webové stránky sa zobrazujú vo výsledkoch vyhľadávania prostredníctvom SEO otravy
• spear phishingové e-maily so škodlivými odkazmi
• Škodlivé reklamné kampane a zavádzajúce príspevky na sociálnych sieťach

Po stiahnutí inštalátor škodlivého softvéru nasadí upravené verzie dvoch kritických komponentov, NeService.exe a NetExtender.exe, ktoré boli upravené tak, aby ignorovali overovanie digitálnych certifikátov. Tieto komponenty nenápadne odosielajú konfiguračné údaje na server ovládaný útočníkom na adrese 132.196.198.163:8080.

Čo sa kradne a ako

Keď používateľ zadá svoje VPN prihlasovacie údaje a stlačí tlačidlo „Pripojiť“, trójsky kôň vykoná vlastné kontroly pred odoslaním ukradnutých údajov na server útočníka. Ukradnuté informácie zahŕňajú:

• Používateľské meno
• Heslo
• Doména
• Podrobnosti o VPN serveri a konfiguračné údaje

Tieto ukradnuté informácie by mohli útočníkom umožniť neoprávnený prístup do firemného prostredia, čo by z toho urobilo významný problém pre kybernetickú bezpečnosť.

Kľúčové poznatky pre ochranu

Aby sa organizácie a používatelia nestali obeťami takýchto hrozieb, mali by:

• Nástroje na VPN a vzdialený prístup si sťahujte iba z oficiálnych webových stránok alebo od overených predajcov.
• Buďte opatrní pri klikaní na odkazy v e-mailoch, reklamách alebo výsledkoch vyhľadávania, najmä na tie, ktoré ponúkajú stiahnutie softvéru.

Okrem toho by správcovia siete mali monitorovať nezvyčajné odchádzajúce pripojenia a zabezpečiť, aby systémy ochrany koncových bodov boli aktuálne a nakonfigurované na detekciu manipulovaných spustiteľných súborov.

Záverečné myšlienky

Kampaň SilentRoute poukazuje na rastúcu sofistikovanosť distribúcie malvéru prostredníctvom imidžu a sociálneho inžinierstva. Opatrnosť spolu so silnou digitálnou hygienou zostáva najlepšou obranou proti takýmto klamlivým hrozbám.