Trojanized SonicWall NetExtender Menargetkan Pengguna VPN Untuk Pencurian Kredensial

HomeNews* Penyerang menyebarkan versi trojan dari aplikasi VPN NetExtender SonicWall untuk mencuri kredensial login.

• Perangkat lunak palsu, yang disebut SilentRoute, didistribusikan dari situs web yang dipalsukan dan ditandatangani secara digital agar terlihat asli.
• Kode jahat dalam penginstal mengirimkan rincian konfigurasi VPN yang tertangkap—termasuk nama pengguna dan kata sandi—ke server jarak jauh.
• Kampanye lain, yang dikenal sebagai EvilConwi, menyalahgunakan tanda tangan ConnectWise untuk mengirimkan Malware akses jarak jauh melalui phishing dan situs palsu.
• Kedua ancaman menggunakan tanda tangan yang tepercaya dan visual yang menyesatkan untuk menipu pengguna dan melewati pemeriksaan keamanan umum. Penyerang yang tidak dikenal telah mendistribusikan versi aplikasi SonicWall NetExtender SSL VPN yang terinfeksi trojan untuk menangkap kredensial pengguna. Installer yang dimanipulasi, yang ditemukan pada Juni 2025, telah disamarkan sebagai versi resmi dan didistribusikan melalui situs web palsu yang telah ditutup.

• Iklan - Menurut peneliti SonicWall Sravan Ganachari, aplikasi NetExtender yang sah memungkinkan pengguna jarak jauh untuk mengakses sumber daya jaringan perusahaan dengan aman. Perusahaan, bekerja sama dengan Microsoft, mengidentifikasi varian berbahaya—diberi nama kode SilentRoute—yang mengumpulkan informasi konfigurasi VPN sensitif dari pengguna.

Pelaku ancaman menambahkan kode di binary yang diinstal dari NetExtender palsu sehingga informasi terkait konfigurasi VPN dicuri dan dikirim ke server jarak jauh, kata Ganachari. Penginstal yang dimanipulasi—ditandatangani oleh CITYLIGHT MEDIA PRIVATE LIMITED—menghindari pemeriksaan sertifikat digital. Ketika pengguna memasukkan kredensial VPN mereka dan mengklik "Connect," malware mengirimkan detail seperti nama pengguna, kata sandi, dan domain ke server jarak jauh melalui internet.

Penyebaran perangkat lunak nakal ini kemungkinan menargetkan pengguna yang mencari aplikasi NetExtender di mesin pencari, yang mengarahkannya ke situs phishing melalui taktik seperti optimisasi mesin pencari, malvertising, atau tautan media sosial. Para penyelidik menemukan bahwa penginstal yang dimodifikasi mengandung dua komponen kunci, "NeService.exe" dan "NetExtender.exe," yang keduanya dimodifikasi untuk pencurian data dan penghindaran validasi sertifikat.

Sementara itu, kampanye terpisah yang dijelaskan oleh perusahaan Jerman G DATA telah menyalahgunakan tanda tangan perangkat lunak ConnectWise, dalam kelompok aktivitas yang dijuluki EvilConwi. Penyerang menggunakan metode yang disebut Authenticode stuffing—yang menambahkan kode berbahaya tanpa merusak tanda tangan digital terpercaya program. Metode ini memungkinkan ancaman untuk tidak terdeteksi dengan menggunakan proses perangkat lunak yang tampak sah.

Serangan ini dimulai dengan email phishing yang mengarah ke unduhan palsu. Perangkat lunak jahat mengimplan spyware di balik merek yang dikenal, kadang-kadang menampilkan layar pembaruan Windows palsu untuk mencegah pengguna mematikan komputer mereka. Peneliti keamanan Karsten Hahn mencatat bahwa penyerang menggunakan promosi alat AI palsu dan visual pembaruan yang menyesatkan untuk menipu pengguna dan menjaga sistem mereka tetap rentan terhadap akses jarak jauh.

Kedua kampanye bergantung pada cara kerja keamanan yang dikenal, memungkinkan penyerang untuk mengumpulkan data pengguna sambil meminimalkan deteksi oleh alat keamanan standar.

• Iklan - #### Artikel Sebelumnya:

• Republik akan Menawarkan Token Cermin yang Melacak SpaceX, Anthropic kepada Investor Ritel
• Bitcoin Melonjak ke $107K seiring Harapan Pemangkasan Suku Bunga Fed, Ketakutan Geopolitik Mereda
• Indeks CoinDesk 20 Naik 0,5% di mana BCH, SOL Memimpin; APT, AAVE Tertinggal
• Hacktivis Pro-Iran Bocorkan Data Atlet dan Pengunjung Permainan Saudi Secara Online
• Hana Bank Bergabung dengan Konsorsium Stablecoin Korea, Mengajukan Merek Dagang

• Iklan -