SilentRoute Trojan

సైబర్ నేరస్థులు మరోసారి విశ్వసనీయ సాఫ్ట్‌వేర్‌ను ఆయుధంగా మార్చడానికి ఒక మార్గాన్ని కనుగొన్నారు, ఈసారి SSL VPN NetExtender యొక్క ట్రోజనైజ్డ్ వెర్షన్‌ను సృష్టించడం ద్వారా. సైబర్ భద్రతా పరిశోధకులు కనుగొన్న ఈ దాడి ప్రచారం, రిమోట్ నెట్‌వర్క్ యాక్సెస్ కోరుకునే వినియోగదారులకు తీవ్రమైన ముప్పును కలిగిస్తుంది.

మారువేషంలో ఉన్న ట్రోజన్

ఈ ప్రచారం మధ్యలో SSL VPN NetExtender క్లయింట్ యొక్క సవరించిన వెర్షన్ ఉంది, ఇది రిమోట్ వినియోగదారులు ఎంటర్‌ప్రైజ్ నెట్‌వర్క్‌లకు సురక్షితంగా కనెక్ట్ అవ్వడానికి అనుమతించడానికి రూపొందించబడిన ఒక చట్టబద్ధమైన సాధనం. ఇది వినియోగదారులు కంపెనీ నెట్‌వర్క్‌లో భౌతికంగా ఉన్నట్లుగా అంతర్గత అప్లికేషన్‌లను అమలు చేయడానికి, షేర్డ్ డ్రైవ్‌లను యాక్సెస్ చేయడానికి మరియు ఫైల్‌లను బదిలీ చేయడానికి వీలు కల్పిస్తుంది.

దురదృష్టవశాత్తు, తెలియని బెదిరింపు సమూహం ఈ సాఫ్ట్‌వేర్ యొక్క నకిలీ వెర్షన్‌ను సర్క్యులేట్ చేస్తోంది, దీనికి సైలెంట్‌రూట్ అని పిలువబడే మాల్వేర్‌ను ఇంజెక్ట్ చేస్తోంది. ఒకసారి ఇన్‌స్టాల్ చేసిన తర్వాత, ఈ రోగ్ వెర్షన్ నిశ్శబ్దంగా వినియోగదారు నుండి సున్నితమైన డేటాను దొంగిలిస్తుంది.

దాడి ఎలా పనిచేస్తుంది

దాడి చేసేవారు చట్టబద్ధమైన వెర్షన్ 10.3.2.27 వలె మారువేషంలో ఉన్న హానికరమైన NetExtender ఇన్‌స్టాలర్‌ను హోస్ట్ చేయడానికి నకిలీ వెబ్‌సైట్‌ను ఉపయోగిస్తున్నారు. వెబ్‌సైట్ తీసివేయబడినప్పటికీ, ఇన్‌స్టాలర్‌ను CITYLIGHT MEDIA PRIVATE LIMITED డిజిటల్ సంతకం చేసిందని, ఇది చట్టబద్ధత యొక్క తప్పుడు రూపాన్ని ఇస్తుందని నివేదించబడింది.

బాధితులు ఈ క్రింది వాటి ద్వారా మాల్వేర్‌ను డౌన్‌లోడ్ చేసుకునేలా ప్రలోభపెట్టబడవచ్చు:

• SEO విషప్రయోగం ద్వారా శోధన ఫలితాల్లో మోసపూరిత వెబ్‌సైట్‌లు కనిపిస్తున్నాయి
• హానికరమైన లింక్‌లతో స్పియర్-ఫిషింగ్ ఇమెయిల్‌లు
• తప్పుడు ప్రచారాలు మరియు తప్పుదారి పట్టించే సోషల్ మీడియా పోస్టులు

డౌన్‌లోడ్ చేసిన తర్వాత, హానికరమైన ఇన్‌స్టాలర్ డిజిటల్ సర్టిఫికెట్ ధ్రువీకరణను విస్మరించడానికి మార్చబడిన రెండు కీలకమైన భాగాలైన NeService.exe మరియు NetExtender.exe యొక్క సవరించిన సంస్కరణలను అమలు చేస్తుంది. ఈ భాగాలు 132.196.198.163:8080 వద్ద దాడి చేసేవారి-నియంత్రిత సర్వర్‌కు కాన్ఫిగరేషన్ డేటాను నిశ్శబ్దంగా బహిష్కరిస్తాయి.

ఏమి దొంగిలించబడుతుంది మరియు ఎలా

వినియోగదారుడు వారి VPN ఆధారాలను నమోదు చేసి 'కనెక్ట్' బటన్‌ను నొక్కిన తర్వాత, దొంగిలించబడిన డేటాను దాడి చేసేవారి సర్వర్‌కు బదిలీ చేయడానికి ముందు ట్రోజన్ దాని స్వంత తనిఖీలను నిర్వహిస్తుంది. ఎక్స్‌ఫిల్ట్రేటెడ్ సమాచారంలో ఇవి ఉంటాయి:

• యూజర్ పేరు
• పాస్‌వర్డ్
• డొమైన్
• VPN సర్వర్ వివరాలు మరియు కాన్ఫిగరేషన్ డేటా

ఈ దొంగిలించబడిన సమాచారం దాడి చేసేవారికి కార్పొరేట్ వాతావరణాలలోకి అనధికార ప్రాప్యతను మంజూరు చేస్తుంది, ఇది సైబర్ భద్రతా సమస్యగా మారుతుంది.

రక్షణగా ఉండటానికి కీలకమైన అంశాలు

అటువంటి బెదిరింపుల బారిన పడకుండా ఉండటానికి, సంస్థలు మరియు వినియోగదారులు:

• అధికారిక వెబ్‌సైట్‌లు లేదా ధృవీకరించబడిన విక్రేతల నుండి మాత్రమే VPN మరియు రిమోట్ యాక్సెస్ సాధనాలను డౌన్‌లోడ్ చేసుకోండి.
• ఇమెయిల్‌లు, ప్రకటనలు లేదా శోధన ఫలితాలలోని లింక్‌లపై క్లిక్ చేసేటప్పుడు, ముఖ్యంగా సాఫ్ట్‌వేర్ డౌన్‌లోడ్‌లను అందించే వాటిలో జాగ్రత్తగా ఉండండి.

అదనంగా, నెట్‌వర్క్ నిర్వాహకులు అసాధారణ అవుట్‌బౌండ్ కనెక్షన్‌ల కోసం పర్యవేక్షించాలి మరియు ఎండ్‌పాయింట్ రక్షణ వ్యవస్థలు తాజాగా ఉన్నాయని మరియు ట్యాంపర్ చేయబడిన ఎక్జిక్యూటబుల్‌లను గుర్తించడానికి కాన్ఫిగర్ చేయబడిందని నిర్ధారించుకోవాలి.

తుది ఆలోచనలు

సైలెంట్‌రూట్ ప్రచారం అనుకరణ మరియు సామాజిక ఇంజనీరింగ్ ద్వారా మాల్వేర్ పంపిణీ యొక్క పెరుగుతున్న అధునాతనతను హైలైట్ చేస్తుంది. బలమైన డిజిటల్ పరిశుభ్రతతో కలిసి విజిలెన్స్, అటువంటి మోసపూరిత ముప్పులకు వ్యతిరేకంగా ఉత్తమ రక్షణగా మిగిలిపోయింది.