Trojanski konj SilentRoute
Kibernetski kriminalci so znova našli način, kako orožiti zaupanja vredno programsko opremo, tokrat z ustvarjanjem trojanske različice SSL VPN NetExtender. Ta napadalna kampanja, ki so jo odkrili raziskovalci kibernetske varnosti, predstavlja resno grožnjo uporabnikom, ki iščejo oddaljeni dostop do omrežja.
Kazalo
Trojanec v preobleki
V središču te kampanje je spremenjena različica odjemalca SSL VPN NetExtender, legitimnega orodja, zasnovanega tako, da oddaljenim uporabnikom omogoča varno povezavo z omrežji podjetja. Uporabnikom omogoča zagon internih aplikacij, dostop do skupnih pogonov in prenos datotek, kot da bi bili fizično prisotni v omrežju podjetja.
Žal neznana skupina zlonamernih groženj širi ponarejeno različico te programske opreme, v katero vbrizgava zlonamerno programsko opremo z imenom SilentRoute. Ko je nameščena, ta prevarantska različica tiho krade občutljive podatke uporabnika.
Kako deluje napad
Napadalci uporabljajo lažno spletno mesto za gostovanje zlonamernega namestitvenega programa NetExtender, prikritega kot legitimna različica 10.3.2.27. Čeprav je bilo spletno mesto odstranjeno, naj bi bil namestitveni program digitalno podpisan s strani CITYLIGHT MEDIA PRIVATE LIMITED, kar mu daje lažen videz legitimnosti.
Žrtve verjetno zvabijo k prenosu zlonamerne programske opreme prek:
- Ponarejena spletna mesta se prikazujejo v rezultatih iskanja zaradi zastrupitve z iskalniki (SEO).
- E-poštna sporočila z lažnim predstavljanjem in zlonamernimi povezavami
- Zlonamerne oglaševalske kampanje in zavajajoče objave na družbenih omrežjih
Ko je zlonamerni namestitveni program prenesen, namesti spremenjeni različici dveh kritičnih komponent, NeService.exe in NetExtender.exe, ki sta bili spremenjeni tako, da ignorirata preverjanje veljavnosti digitalnih potrdil. Ti komponenti neopazno izvlečeta konfiguracijske podatke na strežnik, ki ga nadzoruje napadalec, na naslovu 132.196.198.163:8080.
Kaj se krade in kako
Ko uporabnik vnese svoje VPN poverilnice in pritisne gumb »Poveži se«, trojanski konj izvede lastna preverjanja, preden ukradene podatke pošlje na strežnik napadalca. Pridobljene informacije vključujejo:
- Uporabniško ime
- Geslo
- Domena
- Podrobnosti in konfiguracijski podatki strežnika VPN
Zaradi teh ukradenih informacij bi lahko napadalci nepooblaščeno dostopali do poslovnih okolij, kar bi lahko predstavljalo veliko tveganje za kibernetsko varnost.
Ključni nasveti za zaščito
Da bi se organizacije in uporabniki izognili takim grožnjam, bi morali:
- Orodja za VPN in oddaljeni dostop prenašajte samo z uradnih spletnih mest ali od preverjenih prodajalcev.
- Bodite previdni pri klikanju povezav v e-poštnih sporočilih, oglasih ali rezultatih iskanja, zlasti tistih, ki ponujajo prenos programske opreme.
Poleg tega bi morali skrbniki omrežja spremljati nenavadne odhodne povezave in zagotoviti, da so sistemi za zaščito končnih točk posodobljeni in konfigurirani za zaznavanje spremenjenih izvedljivih datotek.
Zaključne misli
Kampanja SilentRoute poudarja vse večjo prefinjenost distribucije zlonamerne programske opreme z lažnim predstavljanjem in socialnim inženiringom. Budnost, skupaj z močno digitalno higieno, ostaja najboljša obramba pred takšnimi zavajajočimi grožnjami.
