Тројански вирус SilentRoute
Сајбер криминалци су поново пронашли начин да наоружају поуздани софтвер, овог пута креирањем тројанизоване верзије SSL VPN NetExtender-а. Ова нападачка кампања, коју су открили истраживачи сајбер безбедности, представља озбиљну претњу корисницима који траже удаљени приступ мрежи.
Преглед садржаја
Тројанац у прерушењу
У средишту ове кампање је модификована верзија SSL VPN NetExtender клијента, легитимног алата дизајнираног да омогући удаљеним корисницима безбедно повезивање са пословним мрежама. Омогућава корисницима да покрећу интерне апликације, приступају дељеним дисковима и преносе датотеке као да су физички присутни на компанијској мрежи.
Нажалост, непозната претњачка група је ширила лажну верзију овог софтвера, убризгавајући у њега злонамерни софтвер који је назван SilentRoute. Једном инсталирана, ова лажна верзија тихо краде осетљиве податке од корисника.
Како напад функционише
Нападачи користе лажну веб страницу за хостовање злонамерног инсталера NetExtender-а, маскираног као легитимна верзија 10.3.2.27. Иако је веб страница уклоњена, инсталатер је наводно дигитално потписан од стране CITYLIGHT MEDIA PRIVATE LIMITED, што му даје лажни изглед легитимности.
Жртве су вероватно намамљене да преузму злонамерни софтвер путем:
- Лажне веб странице се приказују у резултатима претраге путем SEO тровања
- Спир-фишинг имејлови са злонамерним линковима
- Кампање злонамерног оглашавања и обмањујуће објаве на друштвеним мрежама
Након преузимања, злонамерни инсталатер инсталира модификоване верзије две критичне компоненте, NeService.exe и NetExtender.exe, које су измењене тако да игноришу валидацију дигиталног сертификата. Ове компоненте неприметно преузимају податке о конфигурацији на сервер којим управља нападач на адреси 132.196.198.163:8080.
Шта се краде и како
Након што корисник унесе своје VPN податке и притисне дугме „Повежи се“, тројанац врши сопствене провере пре него што пошаље украдене податке на сервер нападача. Украдене информације укључују:
- Корисничко име
- Лозинка
- Домен
- Детаљи и подаци о конфигурацији VPN сервера
Ове украдене информације би могле да омогуће нападачима неовлашћени приступ корпоративним окружењима, што ово чини значајним проблемом за сајбер безбедност.
Кључне ствари за очување заштите
Да би избегли да постану жртве таквих претњи, организације и корисници би требало да:
- Преузимајте VPN и алате за даљински приступ само са званичних веб локација или од проверених добављача.
- Будите опрезни када кликћете на линкове у имејловима, огласима или резултатима претраге, посебно на оне који нуде преузимање софтвера.
Поред тога, мрежни администратори треба да прате неуобичајене одлазне везе и да осигурају да су системи заштите крајњих тачака ажурирани и конфигурисани да детектују неовлашћено извршне датотеке.
Завршне мисли
Кампања SilentRoute истиче све већу софистицираност дистрибуције злонамерног софтвера путем лажног представљања и социјалног инжењеринга. Будност, заједно са јаком дигиталном хигијеном, остаје најбоља одбрана од таквих обмањујућих претњи.
