Троян SilentRoute
Кіберзлочинці знову знайшли спосіб перетворити надійне програмне забезпечення на зброю, цього разу створивши троянську версію SSL VPN NetExtender. Ця атакуюча кампанія, виявлена дослідниками кібербезпеки, становить серйозну загрозу для користувачів, які шукають віддалений доступ до мережі.
Зміст
Троян під прикриттям
У центрі цієї кампанії знаходиться модифікована версія клієнта SSL VPN NetExtender, легітимного інструменту, розробленого для безпечного підключення віддалених користувачів до корпоративних мереж. Він дозволяє користувачам запускати внутрішні програми, отримувати доступ до спільних дисків і передавати файли так, ніби вони фізично присутні в мережі компанії.
На жаль, невідома група зловмисників поширює підроблену версію цього програмного забезпечення, встановлюючи в неї шкідливе програмне забезпечення під назвою SilentRoute. Після встановлення ця шахрайська версія непомітно викрадає конфіденційні дані користувача.
Як працює атака
Зловмисники використовують підроблений веб-сайт для розміщення шкідливого інсталятора NetExtender, замаскованого під легітимну версію 10.3.2.27. Хоча веб-сайт було видалено, інсталятор, як повідомляється, мав цифровий підпис від CITYLIGHT MEDIA PRIVATE LIMITED, що надало йому фальшивого вигляду легітимності.
Жертв, ймовірно, спонукають завантажити шкідливе програмне забезпечення через:
- Підроблені вебсайти відображаються в результатах пошуку через SEO-отравлення
- Фішингові електронні листи зі шкідливими посиланнями
- Шкідливі рекламні кампанії та оманливі публікації в соціальних мережах
Після завантаження шкідливий інсталятор розгортає модифіковані версії двох критично важливих компонентів, NeService.exe та NetExtender.exe, які були змінені таким чином, щоб ігнорувати перевірку цифрових сертифікатів. Ці компоненти непомітно витягують дані конфігурації на контрольований зловмисником сервер за адресою 132.196.198.163:8080.
Що крадуть і як
Після того, як користувач вводить свої облікові дані VPN та натискає кнопку «Підключитися», троян виконує власні перевірки, перш ніж передати викрадені дані на сервер зловмисника. Викрадена інформація включає:
- Ім'я користувача
- Пароль
- Домен
- Відомості про VPN-сервер та дані конфігурації
Ця викрадена інформація може надати зловмисникам несанкціонований доступ до корпоративного середовища, що робить це серйозною проблемою кібербезпеки.
Ключові висновки для захисту
Щоб уникнути подібних загроз, організаціям та користувачам слід:
- Завантажуйте VPN та інструменти віддаленого доступу лише з офіційних веб-сайтів або від перевірених постачальників.
- Будьте обережні, натискаючи на посилання в електронних листах, рекламі чи результатах пошуку, особливо ті, що пропонують завантаження програмного забезпечення.
Крім того, мережеві адміністратори повинні стежити за незвичайними вихідними з’єднаннями та забезпечувати оновлення систем захисту кінцевих точок та їх налаштування для виявлення підроблених виконуваних файлів.
Заключні думки
Кампанія SilentRoute підкреслює зростаючу складність поширення шкідливого програмного забезпечення через імперсонацію та соціальну інженерію. Пильність у поєднанні з суворою цифровою гігієною залишається найкращим захистом від таких оманливих загроз.
