HomeNews* Los atacantes propagaron una versión troyanizada de la aplicación VPN NetExtender de SonicWall para robar credenciales de inicio de sesión.
El software falso, llamado SilentRoute, se distribuye desde un sitio web falsificado y está firmado digitalmente para parecer genuino.
El código malicioso en el instalador envía los detalles de configuración del VPN capturados—incluidos los nombres de usuario y las contraseñas— a un servidor remoto.
Otra campaña, conocida como EvilConwi, abusa de las firmas de ConnectWise para entregar malware de acceso remoto a través de phishing y sitios falsos.
Ambas amenazas utilizan firmas confiables y visuales engañosos para engañar a los usuarios y eludir los controles de seguridad comunes.
Los atacantes desconocidos han distribuido una versión infectada por troyanos de la aplicación SonicWall NetExtender SSL VPN para capturar las credenciales de los usuarios. El instalador manipulado, descubierto en junio de 2025, ha sido disfrazado como la versión oficial y se distribuyó a través de un sitio web falso que desde entonces ha sido cerrado.
Anuncio - Según el investigador de SonicWall Sravan Ganachari, la aplicación legítima NetExtender permite a los usuarios remotos acceder de manera segura a los recursos de la red de la empresa. La empresa, trabajando con Microsoft, identificó la variante maliciosa—codenominada SilentRoute—que recopila información sensible de configuración de VPN de los usuarios.
El actor de amenazas agregó código en los binarios instalados del falso NetExtender para que la información relacionada con la configuración de VPN sea robada y enviada a un servidor remoto, dijo Ganachari. El instalador manipulado—firmado por CITYLIGHT MEDIA PRIVATE LIMITED—elude las verificaciones de certificados digitales. Cuando un usuario introduce sus credenciales de VPN y hace clic en "Conectar," el malware transmite detalles como nombre de usuario, contraseña y dominio a un servidor remoto a través de internet.
La propagación de este software malicioso probablemente tenía como objetivo a los usuarios que buscaban la aplicación NetExtender en motores de búsqueda, llevándolos a sitios de phishing a través de tácticas como la optimización de motores de búsqueda, malvertising o enlaces en redes sociales. Los investigadores encontraron que el instalador modificado contenía dos componentes clave, "NeService.exe" y "NetExtender.exe," que fueron modificados para el robo de datos y la elusión de validación de certificados.
Mientras tanto, una campaña separada descrita por la empresa alemana G DATA ha abusado de las firmas de software ConnectWise, en un grupo de actividad denominado EvilConwi. Los atacantes utilizaron un método llamado empaquetado de Authenticode, que añade código malicioso sin romper la firma digital confiable del programa. Este método permitió que las amenazas pasaran desapercibidas al usar procesos de software que parecen legítimos.
Estos ataques comienzan con correos electrónicos de phishing que conducen a descargas falsas. El software malicioso implanta spyware bajo la apariencia de marcas conocidas, a veces mostrando pantallas de actualización de Windows falsas para impedir que los usuarios apaguen sus computadoras. El investigador de seguridad Karsten Hahn señaló que los atacantes utilizaron promociones falsas de herramientas de IA y visuales de actualización engañosos para engañar a los usuarios y mantener sus sistemas vulnerables al acceso remoto.
Ambas campañas se basaron en soluciones de seguridad conocidas, lo que permitió a los atacantes recopilar datos de usuarios mientras minimizaban la detección por herramientas de seguridad estándar.
Publicidad - #### Artículos Anteriores:
La República ofrecerá tokens espejo que rastrean a SpaceX y Anthropic para inversores minoristas
Bitcoin se dispara a $107K mientras las esperanzas de recortes de tasas de la Fed y los temores geopolíticos disminuyen
El índice CoinDesk 20 sube un 0.5% mientras BCH y SOL lideran; APT y AAVE quedan atrás.
Hacktivistas pro-Irán filtran datos en línea de atletas y visitantes de juegos sauditas
Hana Bank se une al consorcio de stablecoins de Corea, presenta una solicitud de marca registrada
Anuncio -
Ver originales
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
SonicWall NetExtender Trojanizado Apunta a Usuarios de VPN Para el Robo de Credenciales
HomeNews* Los atacantes propagaron una versión troyanizada de la aplicación VPN NetExtender de SonicWall para robar credenciales de inicio de sesión.
El actor de amenazas agregó código en los binarios instalados del falso NetExtender para que la información relacionada con la configuración de VPN sea robada y enviada a un servidor remoto, dijo Ganachari. El instalador manipulado—firmado por CITYLIGHT MEDIA PRIVATE LIMITED—elude las verificaciones de certificados digitales. Cuando un usuario introduce sus credenciales de VPN y hace clic en "Conectar," el malware transmite detalles como nombre de usuario, contraseña y dominio a un servidor remoto a través de internet.
La propagación de este software malicioso probablemente tenía como objetivo a los usuarios que buscaban la aplicación NetExtender en motores de búsqueda, llevándolos a sitios de phishing a través de tácticas como la optimización de motores de búsqueda, malvertising o enlaces en redes sociales. Los investigadores encontraron que el instalador modificado contenía dos componentes clave, "NeService.exe" y "NetExtender.exe," que fueron modificados para el robo de datos y la elusión de validación de certificados.
Mientras tanto, una campaña separada descrita por la empresa alemana G DATA ha abusado de las firmas de software ConnectWise, en un grupo de actividad denominado EvilConwi. Los atacantes utilizaron un método llamado empaquetado de Authenticode, que añade código malicioso sin romper la firma digital confiable del programa. Este método permitió que las amenazas pasaran desapercibidas al usar procesos de software que parecen legítimos.
Estos ataques comienzan con correos electrónicos de phishing que conducen a descargas falsas. El software malicioso implanta spyware bajo la apariencia de marcas conocidas, a veces mostrando pantallas de actualización de Windows falsas para impedir que los usuarios apaguen sus computadoras. El investigador de seguridad Karsten Hahn señaló que los atacantes utilizaron promociones falsas de herramientas de IA y visuales de actualización engañosos para engañar a los usuarios y mantener sus sistemas vulnerables al acceso remoto.
Ambas campañas se basaron en soluciones de seguridad conocidas, lo que permitió a los atacantes recopilar datos de usuarios mientras minimizaban la detección por herramientas de seguridad estándar.