HomeNotícias* Ataques disseminam uma versão trojanizada da aplicação VPN NetExtender da SonicWall para roubar credenciais de login.
O software falso, chamado SilentRoute, é distribuído a partir de um site falsificado e está assinado digitalmente para parecer genuíno.
Código malicioso no instalador envia detalhes da configuração do VPN capturados—incluindo nomes de utilizador e palavras-passe—para um servidor remoto.
Outra campanha, conhecida como EvilConwi, abusa das assinaturas ConnectWise para entregar Malware de acesso remoto através de phishing e sites falsos.
Ambas as ameaças utilizam assinaturas confiáveis e visuais enganadores para enganar os utilizadores e contornar os verificações de segurança comuns.
Atacantes desconhecidos distribuíram uma versão infectada por trojan da aplicação SonicWall NetExtender SSL VPN para capturar as credenciais dos utilizadores. O instalador adulterado, descoberto em junho de 2025, foi disfarçado como a versão oficial e foi distribuído através de um site falso que desde então foi encerrado.
Anúncio - De acordo com o pesquisador da SonicWall Sravan Ganachari, o aplicativo legítimo NetExtender permite que os usuários remotos acessem recursos da rede da empresa de forma segura. A empresa, trabalhando com a Microsoft, identificou a variante maliciosa—codenome SilentRoute—que coleta informações sensíveis de configuração de VPN dos usuários.
O ator da ameaça adicionou código nos binários instalados do falso NetExtender para que informações relacionadas à configuração do VPN sejam roubadas e enviadas para um servidor remoto, disse Ganachari. O instalador manipulado—assinado pela CITYLIGHT MEDIA PRIVATE LIMITED—ignora as verificações de certificado digital. Quando um usuário insere suas credenciais de VPN e clica em "Conectar", o malware transmite detalhes como nome de usuário, senha e domínio para um servidor remoto através da internet.
A propagação deste software malicioso provavelmente visou utilizadores que procuraram pela aplicação NetExtender em motores de busca, levando-os a sites de phishing através de táticas como otimização para motores de busca, malvertising ou links em redes sociais. Os investigadores descobriram que o instalador alterado continha dois componentes chave, "NeService.exe" e "NetExtender.exe," que foram ambos modificados para roubo de dados e bypass de validação de certificados.
Entretanto, uma campanha separada descrita pela empresa alemã G DATA abusou das assinaturas de software ConnectWise, em um grupo de atividade denominado EvilConwi. Os atacantes usaram um método chamado Authenticode stuffing—que adiciona código malicioso sem quebrar a assinatura digital confiável do programa. Este método permitiu que ameaças passassem despercebidas, utilizando processos de software que parecem legítimos.
Esses ataques começam com e-mails de phishing que levam a downloads falsos. O software malicioso implanta spyware sob a cobertura de marcas conhecidas, às vezes exibindo telas falsas de atualização do Windows para impedir que os usuários desliguem seus computadores. O pesquisador de segurança Karsten Hahn observou que os atacantes usaram promoções falsas de ferramentas de IA e visuais enganosos de atualização para enganar os usuários e manter seus sistemas vulneráveis ao acesso remoto.
Ambas as campanhas dependeram de soluções de segurança conhecidas, permitindo que os atacantes recolhessem dados dos utilizadores enquanto minimizavam a deteção por ferramentas de segurança padrão.
Anúncio - #### Artigos Anteriores:
A República irá oferecer Tokens Espelho que acompanham a SpaceX e a Anthropic para investidores de retalho.
Bitcoin dispara para $107K à medida que as esperanças de corte de taxas da Fed e os medos geopolíticos diminuem
Índice CoinDesk 20 Sobe 0,5% com BCH e SOL em Destaque; APT e AAVE em Baixa
Hacktivistas pró-Irã vazam dados de atletas e visitantes de Jogos Sauditas online
O Hana Bank junta-se ao Consórcio de Stablecoin Coreano, entra com pedido de marca registrada
Anúncio -
Ver original
O conteúdo serve apenas de referência e não constitui uma solicitação ou oferta. Não é prestado qualquer aconselhamento em matéria de investimento, fiscal ou jurídica. Consulte a Declaração de exoneração de responsabilidade para obter mais informações sobre os riscos.
Trojanizado SonicWall NetExtender Alvo de Utilizadores de VPN Para Roubo de Credenciais
HomeNotícias* Ataques disseminam uma versão trojanizada da aplicação VPN NetExtender da SonicWall para roubar credenciais de login.
O ator da ameaça adicionou código nos binários instalados do falso NetExtender para que informações relacionadas à configuração do VPN sejam roubadas e enviadas para um servidor remoto, disse Ganachari. O instalador manipulado—assinado pela CITYLIGHT MEDIA PRIVATE LIMITED—ignora as verificações de certificado digital. Quando um usuário insere suas credenciais de VPN e clica em "Conectar", o malware transmite detalhes como nome de usuário, senha e domínio para um servidor remoto através da internet.
A propagação deste software malicioso provavelmente visou utilizadores que procuraram pela aplicação NetExtender em motores de busca, levando-os a sites de phishing através de táticas como otimização para motores de busca, malvertising ou links em redes sociais. Os investigadores descobriram que o instalador alterado continha dois componentes chave, "NeService.exe" e "NetExtender.exe," que foram ambos modificados para roubo de dados e bypass de validação de certificados.
Entretanto, uma campanha separada descrita pela empresa alemã G DATA abusou das assinaturas de software ConnectWise, em um grupo de atividade denominado EvilConwi. Os atacantes usaram um método chamado Authenticode stuffing—que adiciona código malicioso sem quebrar a assinatura digital confiável do programa. Este método permitiu que ameaças passassem despercebidas, utilizando processos de software que parecem legítimos.
Esses ataques começam com e-mails de phishing que levam a downloads falsos. O software malicioso implanta spyware sob a cobertura de marcas conhecidas, às vezes exibindo telas falsas de atualização do Windows para impedir que os usuários desliguem seus computadores. O pesquisador de segurança Karsten Hahn observou que os atacantes usaram promoções falsas de ferramentas de IA e visuais enganosos de atualização para enganar os usuários e manter seus sistemas vulneráveis ao acesso remoto.
Ambas as campanhas dependeram de soluções de segurança conhecidas, permitindo que os atacantes recolhessem dados dos utilizadores enquanto minimizavam a deteção por ferramentas de segurança padrão.