SilentRoute Trojan

Kriminelët kibernetikë kanë gjetur përsëri një mënyrë për të përdorur softuerë të besueshëm si armë, këtë herë duke krijuar një version të trojanizuar të SSL VPN NetExtender. Kjo fushatë sulmi, e zbuluar nga studiuesit e sigurisë kibernetike, përbën një kërcënim serioz për përdoruesit që kërkojnë akses në distancë në rrjet.

Trojani i maskuar

Në qendër të kësaj fushate është një version i modifikuar i klientit SSL VPN NetExtender, një mjet legjitim i projektuar për të lejuar përdoruesit në distancë të lidhen në mënyrë të sigurt me rrjetet e ndërmarrjeve. Ai u mundëson përdoruesve të ekzekutojnë aplikacione të brendshme, të hyjnë në disqe të përbashkëta dhe të transferojnë skedarë sikur të ishin fizikisht të pranishëm në rrjetin e kompanisë.

Fatkeqësisht, një grup i panjohur kërcënimesh ka qarkulluar një version të rremë të këtij programi, duke e injektuar atë me një program keqdashës të quajtur SilentRoute. Pasi instalohet, ky version mashtrues vjedh në heshtje të dhëna të ndjeshme nga përdoruesi.

Si funksionon sulmi

Sulmuesit po përdorin një faqe interneti të rreme për të strehuar instaluesin keqdashës NetExtender, të maskuar si versioni legjitim 10.3.2.27. Edhe pse faqja e internetit është hequr, instaluesi thuhet se është nënshkruar dixhitalisht nga CITYLIGHT MEDIA PRIVATE LIMITED, duke i dhënë asaj një pamje të rreme legjitimiteti.

Viktimat ka të ngjarë të joshen për të shkarkuar programin keqdashës përmes:

• Faqet e internetit të falsifikuara shfaqen në rezultatet e kërkimit përmes helmimit nga SEO
• Email-e spear-phishing me lidhje dashakeqe
• Fushatat e reklamimit keqdashës dhe postimet mashtruese në mediat sociale

Pasi shkarkohet, instaluesi keqdashës vendos versione të modifikuara të dy komponentëve kritikë, NeService.exe dhe NetExtender.exe, të cilët janë ndryshuar për të injoruar validimin e certifikatës dixhitale. Këta komponentë i nxjerrin të dhënat e konfigurimit në heshtje në një server të kontrolluar nga sulmuesi në adresën 132.196.198.163:8080.

Çfarë vidhet dhe si

Pasi përdoruesi fut kredencialet e tij VPN dhe shtyp butonin 'Lidhu', trojani kryen kontrollet e veta përpara se të transmetojë të dhënat e vjedhura në serverin e sulmuesit. Informacioni i nxjerrë përfshin:

• Emri i përdoruesit
• Fjalëkalimi
• Domen
• Detajet e serverit VPN dhe të dhënat e konfigurimit

Ky informacion i vjedhur mund t'u japë sulmuesve akses të paautorizuar në mjediset e korporatave, duke e bërë këtë një shqetësim të rëndësishëm për sigurinë kibernetike.

Pikat kryesore për të qëndruar të mbrojtur

Për të shmangur rënien viktimë e kërcënimeve të tilla, organizatat dhe përdoruesit duhet:

• Shkarkoni VPN dhe mjete qasjeje në distancë vetëm nga faqet zyrtare të internetit ose nga shitës të verifikuar.
• Kini kujdes kur klikoni në lidhje në email-e, reklama ose rezultate kërkimi, veçanërisht në ato që ofrojnë shkarkime softuerësh.

Për më tepër, administratorët e rrjetit duhet të monitorojnë për lidhje dalëse të pazakonta dhe të sigurohen që sistemet e mbrojtjes së pikave fundore janë të azhurnuara dhe të konfiguruara për të zbuluar skedarët ekzekutues të manipuluar.

Mendime përfundimtare

Fushata SilentRoute nxjerr në pah sofistikimin në rritje të shpërndarjes së programeve keqdashëse përmes imitimit dhe inxhinierisë sociale. Vigjilenca, e shoqëruar me higjienë të fortë dixhitale, mbetet mbrojtja më e mirë kundër kërcënimeve të tilla mashtruese.