Rabattoffert för flera licenser
Hotdatabas Skadlig programvara SilentRoute-trojanen

SilentRoute-trojanen

Med Mezo år Skadlig programvara, Trojaner
Översätt till:

Cyberbrottslingar har återigen hittat ett sätt att utnyttja betrodd programvara som vapen, den här gången genom att skapa en trojansk version av SSL VPN NetExtender. Denna attackkampanj, som avslöjats av cybersäkerhetsforskare, utgör ett allvarligt hot mot användare som söker fjärråtkomst till nätverket.

Trojanen i förklädnad

I centrum för denna kampanj står en modifierad version av SSL VPN NetExtender-klienten, ett legitimt verktyg utformat för att tillåta fjärranvändare att säkert ansluta till företagsnätverk. Det gör det möjligt för användare att köra interna applikationer, komma åt delade enheter och överföra filer som om de fysiskt fanns på företagets nätverk.

Tyvärr har en okänd hotgrupp cirkulerat en falsk version av den här programvaran och injicerat den med skadlig kod som har kallats SilentRoute. När den väl är installerad stjäl den här falska versionen i tysthet känslig information från användaren.

Hur attacken fungerar

Angriparna använder en falsk webbplats för att vara värd för det skadliga installationsprogrammet för NetExtender, förklätt till den legitima versionen 10.3.2.27. Även om webbplatsen har tagits ner, var installationsprogrammet enligt uppgift digitalt signerat av CITYLIGHT MEDIA PRIVATE LIMITED, vilket ger det en falsk känsla av legitimitet.

Offren lockas sannolikt att ladda ner skadlig programvara genom:

  • Falska webbplatser dyker upp i sökresultaten via SEO-förgiftning
  • Spear-phishing-mejl med skadliga länkar
  • Skadliga reklamkampanjer och vilseledande inlägg på sociala medier

När den skadliga installationsfilen har laddats ner distribuerar den modifierade versioner av två kritiska komponenter, NeService.exe och NetExtender.exe, vilka har ändrats för att ignorera validering av digitala certifikat. Dessa komponenter exfiltrerar i tysthet konfigurationsdata till en angriparkontrollerad server på 132.196.198.163:8080.

Vad som blir stulet och hur

Efter att användaren har angett sina VPN-uppgifter och tryckt på knappen "Anslut", utför trojanen sina egna kontroller innan den överför den stulna informationen till angriparens server. Den stöldbegärda informationen inkluderar:

  • Användarnamn
  • Lösenord
  • Domän
  • VPN-serverdetaljer och konfigurationsdata

Denna stulna information kan ge angriparna obehörig åtkomst till företagsmiljöer, vilket gör detta till ett betydande cybersäkerhetsproblem.

Viktiga lärdomar för att hålla dig skyddad

För att undvika att bli offer för sådana hot bör organisationer och användare:

  • Ladda endast ner VPN och fjärråtkomstverktyg från officiella webbplatser eller verifierade leverantörer.
  • Var försiktig när du klickar på länkar i e-postmeddelanden, annonser eller sökresultat, särskilt de som erbjuder nedladdningar av programvara.

Dessutom bör nätverksadministratörer övervaka ovanliga utgående anslutningar och säkerställa att system för slutpunktsskydd är uppdaterade och konfigurerade för att upptäcka manipulerade körbara filer.

Slutliga tankar

SilentRoute-kampanjen belyser den växande sofistikeringen av distribution av skadlig kod genom personifiering och social ingenjörskonst. Vaksamhet, i kombination med stark digital hygien, är fortfarande det bästa försvaret mot sådana vilseledande hot.

Trendigt

Mest sedda

Läser in...