Trojan SilentRoute

Tội phạm mạng một lần nữa tìm ra cách biến phần mềm đáng tin cậy thành vũ khí, lần này bằng cách tạo ra phiên bản trojan của SSL VPN NetExtender. Chiến dịch tấn công này, được các nhà nghiên cứu an ninh mạng phát hiện, gây ra mối đe dọa nghiêm trọng cho người dùng tìm kiếm quyền truy cập mạng từ xa.

Trojan cải trang

Trọng tâm của chiến dịch này là phiên bản sửa đổi của máy khách SSL VPN NetExtender, một công cụ hợp pháp được thiết kế để cho phép người dùng từ xa kết nối an toàn với mạng doanh nghiệp. Nó cho phép người dùng chạy các ứng dụng nội bộ, truy cập ổ đĩa dùng chung và truyền tệp như thể chúng hiện diện vật lý trên mạng công ty.

Thật không may, một nhóm đe dọa không xác định đã phát tán phiên bản giả mạo của phần mềm này, tiêm phần mềm độc hại được gọi là SilentRoute. Sau khi cài đặt, phiên bản giả mạo này sẽ âm thầm đánh cắp dữ liệu nhạy cảm từ người dùng.

Cuộc tấn công diễn ra như thế nào

Những kẻ tấn công đang sử dụng một trang web giả để lưu trữ trình cài đặt NetExtender độc hại, được ngụy trang thành phiên bản hợp lệ 10.3.2.27. Mặc dù trang web đã bị gỡ xuống, trình cài đặt được báo cáo là đã được CITYLIGHT MEDIA PRIVATE LIMITED ký kỹ thuật số, tạo cho nó vẻ hợp lệ giả tạo.

Nạn nhân có thể bị dụ tải xuống phần mềm độc hại thông qua:

• Các trang web giả mạo hiển thị trong kết quả tìm kiếm thông qua đầu độc SEO
• Email lừa đảo có chứa liên kết độc hại
• Các chiến dịch quảng cáo độc hại và các bài đăng gây hiểu lầm trên mạng xã hội

Sau khi tải xuống, trình cài đặt độc hại triển khai các phiên bản đã sửa đổi của hai thành phần quan trọng, NeService.exe và NetExtender.exe, đã được thay đổi để bỏ qua xác thực chứng chỉ kỹ thuật số. Các thành phần này âm thầm rò rỉ dữ liệu cấu hình đến máy chủ do kẻ tấn công kiểm soát tại 132.196.198.163:8080.

Những gì bị đánh cắp và như thế nào

Sau khi người dùng nhập thông tin xác thực VPN và nhấn nút 'Kết nối', trojan sẽ tự kiểm tra trước khi truyền dữ liệu bị đánh cắp đến máy chủ của kẻ tấn công. Thông tin bị rò rỉ bao gồm:

• Tên người dùng
• Mật khẩu
• Lãnh địa
• Chi tiết máy chủ VPN và dữ liệu cấu hình

Thông tin bị đánh cắp này có thể cấp cho kẻ tấn công quyền truy cập trái phép vào môi trường doanh nghiệp, khiến đây trở thành mối lo ngại đáng kể về an ninh mạng.

Những điều quan trọng cần ghi nhớ để được bảo vệ

Để tránh trở thành nạn nhân của những mối đe dọa như vậy, các tổ chức và người dùng nên:

• Chỉ tải xuống VPN và các công cụ truy cập từ xa từ các trang web chính thức hoặc nhà cung cấp đã được xác minh.
• Hãy thận trọng khi nhấp vào các liên kết trong email, quảng cáo hoặc kết quả tìm kiếm, đặc biệt là những liên kết cung cấp phần mềm tải xuống.

Ngoài ra, quản trị viên mạng phải theo dõi các kết nối ra bất thường và đảm bảo hệ thống bảo vệ điểm cuối được cập nhật và cấu hình để phát hiện các tệp thực thi bị giả mạo.

Suy nghĩ cuối cùng

Chiến dịch SilentRoute nhấn mạnh sự tinh vi ngày càng tăng của việc phân phối phần mềm độc hại thông qua mạo danh và kỹ thuật xã hội. Sự cảnh giác, cùng với việc vệ sinh kỹ thuật số mạnh mẽ, vẫn là biện pháp phòng thủ tốt nhất chống lại các mối đe dọa lừa đảo như vậy.