HomeNews* Des attaquants ont diffusé une version trojanisée de l'application VPN NetExtender de SonicWall pour voler des identifiants de connexion.
Le faux logiciel, appelé SilentRoute, est distribué depuis un site web usurpé et est signé numériquement pour sembler authentique.
Le code malveillant dans l'installateur envoie les détails de configuration VPN capturés—y compris les noms d'utilisateur et les mots de passe—à un serveur distant.
Une autre campagne, connue sous le nom d'EvilConwi, abuse des signatures ConnectWise pour livrer des malwares d'accès à distance via des phishing et des faux sites.
Les deux menaces utilisent des signatures de confiance et des visuels trompeurs pour induire les utilisateurs en erreur et contourner les vérifications de sécurité courantes.
Des attaquants inconnus ont distribué une version infectée par un cheval de Troie de l'application SSL VPN SonicWall NetExtender pour capturer les identifiants des utilisateurs. L'installateur altéré, découvert en juin 2025, a été déguisé en version officielle et a été distribué via un faux site Web qui a depuis été fermé.
Publicité - Selon le chercheur de SonicWall, Sravan Ganachari, l'application légitime NetExtender permet aux utilisateurs distants d'accéder en toute sécurité aux ressources du réseau de l'entreprise. La société, en collaboration avec Microsoft, a identifié la variante malveillante — nom de code SilentRoute — qui collecte des informations sensibles de configuration VPN auprès des utilisateurs.
L'acteur malveillant a ajouté du code dans les binaires installés du faux NetExtender afin que les informations liées à la configuration du VPN soient volées et envoyées à un serveur distant, a déclaré Ganachari. L'installateur manipulé—signé par CITYLIGHT MEDIA PRIVATE LIMITED—contourne les vérifications de certificats numériques. Lorsque l'utilisateur saisit ses identifiants VPN et clique sur "Connecter," le malware transmet des détails tels que le nom d'utilisateur, le mot de passe et le domaine à un serveur distant via Internet.
La propagation de ce logiciel malveillant a probablement ciblé les utilisateurs qui recherchaient l'application NetExtender sur les moteurs de recherche, les dirigeant vers des sites de phishing grâce à des tactiques telles que l'optimisation pour les moteurs de recherche, la malvertising ou des liens sur les réseaux sociaux. Les enquêteurs ont découvert que l'installateur modifié contenait deux composants clés, "NeService.exe" et "NetExtender.exe," qui avaient tous deux été modifiés pour le vol de données et le contournement de la validation des certificats.
Parallèlement, une campagne distincte décrite par la société allemande G DATA a abusé des signatures logicielles ConnectWise, dans un groupe d'activité surnommé EvilConwi. Les attaquants ont utilisé une méthode appelée Authenticode stuffing—qui ajoute du code malveillant sans compromettre la signature numérique de confiance du programme. Cette méthode a permis aux menaces de passer inaperçues en utilisant des processus logiciels semblant légitimes.
Ces attaques commencent par des e-mails de phishing menant à de faux téléchargements. Les logiciels malveillants implantent des logiciels espions sous le couvert de marques familières, affichant parfois de fausses fenêtres de mise à jour de Windows pour empêcher les utilisateurs d'éteindre leurs ordinateurs. Le chercheur en sécurité Karsten Hahn a noté que les attaquants utilisaient de fausses promotions d'outils d'IA et des visuels de mise à jour trompeurs pour piéger les utilisateurs et garder leurs systèmes vulnérables à l'accès à distance.
Les deux campagnes s'appuyaient sur des solutions de contournement de sécurité connues, permettant aux attaquants de rassembler des données utilisateur tout en minimisant la détection par les outils de sécurité standard.
Publicité - #### Articles Précédents :
La République proposera des jetons miroir suivis de SpaceX, Anthropic aux investisseurs de détail
Le Bitcoin grimpe à 107K $ alors que les espoirs de baisse des taux de la Fed et les craintes géopolitiques s'atténuent
L'indice CoinDesk 20 augmente de 0,5 % alors que BCH et SOL mènent ; APT et AAVE sont à la traîne.
Des hacktivistes pro-Iran divulguent en ligne les données des athlètes et des visiteurs des Jeux saoudiens
Hana Bank rejoint le consortium coréen de stablecoins, dépose une marque
Publicité -
Voir l'original
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
SonicWall NetExtender Trojanisé cible les utilisateurs de VPN pour le vol de leurs identifiants.
HomeNews* Des attaquants ont diffusé une version trojanisée de l'application VPN NetExtender de SonicWall pour voler des identifiants de connexion.
L'acteur malveillant a ajouté du code dans les binaires installés du faux NetExtender afin que les informations liées à la configuration du VPN soient volées et envoyées à un serveur distant, a déclaré Ganachari. L'installateur manipulé—signé par CITYLIGHT MEDIA PRIVATE LIMITED—contourne les vérifications de certificats numériques. Lorsque l'utilisateur saisit ses identifiants VPN et clique sur "Connecter," le malware transmet des détails tels que le nom d'utilisateur, le mot de passe et le domaine à un serveur distant via Internet.
La propagation de ce logiciel malveillant a probablement ciblé les utilisateurs qui recherchaient l'application NetExtender sur les moteurs de recherche, les dirigeant vers des sites de phishing grâce à des tactiques telles que l'optimisation pour les moteurs de recherche, la malvertising ou des liens sur les réseaux sociaux. Les enquêteurs ont découvert que l'installateur modifié contenait deux composants clés, "NeService.exe" et "NetExtender.exe," qui avaient tous deux été modifiés pour le vol de données et le contournement de la validation des certificats.
Parallèlement, une campagne distincte décrite par la société allemande G DATA a abusé des signatures logicielles ConnectWise, dans un groupe d'activité surnommé EvilConwi. Les attaquants ont utilisé une méthode appelée Authenticode stuffing—qui ajoute du code malveillant sans compromettre la signature numérique de confiance du programme. Cette méthode a permis aux menaces de passer inaperçues en utilisant des processus logiciels semblant légitimes.
Ces attaques commencent par des e-mails de phishing menant à de faux téléchargements. Les logiciels malveillants implantent des logiciels espions sous le couvert de marques familières, affichant parfois de fausses fenêtres de mise à jour de Windows pour empêcher les utilisateurs d'éteindre leurs ordinateurs. Le chercheur en sécurité Karsten Hahn a noté que les attaquants utilisaient de fausses promotions d'outils d'IA et des visuels de mise à jour trompeurs pour piéger les utilisateurs et garder leurs systèmes vulnérables à l'accès à distance.
Les deux campagnes s'appuyaient sur des solutions de contournement de sécurité connues, permettant aux attaquants de rassembler des données utilisateur tout en minimisant la détection par les outils de sécurité standard.