Домашняя страницаНовости* Злоумышленники распространяют троянскую версию VPN-приложения NetExtender от SonicWall, чтобы украсть учетные данные для входа.
Поддельное программное обеспечение, названное SilentRoute, распространяется с поддельного веб-сайта и цифрово подписано, чтобы выглядеть подлинным.
Вредоносный код в установщике отправляет захваченные детали конфигурации VPN — включая имена пользователей и пароли — на удалённый сервер.
Ещё одна кампания, известная как EvilConwi, злоупотребляет подписями ConnectWise, чтобы доставлять вредоносное ПО для удалённого доступа через фишинг и поддельные сайты.
Оба угрозы используют доверенные подписи и вводящие в заблуждение визуальные элементы, чтобы обмануть пользователей и обойти обычные проверки безопасности.
Неизвестные злоумышленники распространили заражённую трояном версию приложения SonicWall NetExtender SSL VPN для кражи учетных данных пользователей. Поддельный установщик, обнаруженный в июне 2025 года, был замаскирован под официальную версию и распространялся через фальшивый веб-сайт, который с тех пор был закрыт.
Реклама - Согласно исследователю SonicWall Сравану Ганачари, легитимное приложение NetExtender позволяет удаленным пользователям безопасно получать доступ к ресурсам корпоративной сети. Компания, работая с Microsoft, выявила злонамеренный вариант с кодовым именем SilentRoute, который собирает конфиденциальную информацию о конфигурации VPN от пользователей.
Угроза создателя добавила код в установленные бинарные файлы поддельного NetExtender, чтобы информация, связанная с конфигурацией VPN, была украдена и отправлена на удаленный сервер, сказал Ганачари. Модифицированный установщик — подписанный CITYLIGHT MEDIA PRIVATE LIMITED — обходит проверки цифровых сертификатов. Когда пользователь вводит свои учетные данные VPN и нажимает "Подключиться", вредоносное ПО передает такие данные, как имя пользователя, пароль и домен, на удаленный сервер через интернет.
Распространение этого вредоносного программного обеспечения, вероятно, нацеливалось на пользователей, которые искали приложение NetExtender в поисковых системах, направляя их на фишинговые сайты с помощью таких тактик, как оптимизация поисковых систем, малвертинг или ссылки в социальных сетях. Следователи обнаружили, что измененный установщик содержал два ключевых компонента: "NeService.exe" и "NetExtender.exe", которые оба были модифицированы для кражи данных и обхода проверки сертификатов.
Тем временем, отдельная кампания, описанная немецкой компанией G DATA, злоупотребила подписями программного обеспечения ConnectWise, в группе активности, названной EvilConwi. Нападающие использовали метод, называемый Authenticode stuffing — который добавляет вредоносный код, не нарушая доверительной цифровой подписи программы. Этот метод позволил угрозам оставаться незамеченными, используя казалось бы легитимные процессы программного обеспечения.
Эти атаки начинаются с фишинговых писем, ведущих к поддельным загрузкам. Вредоносное программное обеспечение внедряет шпионское ПО под прикрытием знакомых брендов, иногда отображая поддельные экраны обновления Windows, чтобы помешать пользователям выключать свои компьютеры. Исследователь безопасности Карстен Хан отметил, что злоумышленники использовали поддельные рекламные акции AI и вводящие в заблуждение визуальные обновления, чтобы обмануть пользователей и оставить их системы уязвимыми для удаленного доступа.
Обе кампании полагались на известные обходные пути безопасности, позволяя злоумышленникам собирать данные пользователей, минимизируя при этом обнаружение стандартными средствами безопасности.
Реклама - #### Предыдущие статьи:
Республика предложит зеркальные токены, отслеживающие SpaceX и Anthropic, розничным инвесторам
Биткойн поднимается до 107 тыс. долларов на фоне надежд на снижение ставки ФРС и ослабления геополитических страхов
Индекс CoinDesk 20 вырос на 0,5%, так как BCH и SOL лидируют; APT и AAVE отстают
Про-иранские хактивисты выложили в сеть данные спортсменов и посетителей саудовских игр
Hana Bank присоединился к корейскому консорциуму стабильных монет, подал заявку на товарный знак
Реклама -
Посмотреть Оригинал
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Троянский SonicWall NetExtender нацеливается на пользователей VPN для кражи учетных данных
Домашняя страницаНовости* Злоумышленники распространяют троянскую версию VPN-приложения NetExtender от SonicWall, чтобы украсть учетные данные для входа.
Угроза создателя добавила код в установленные бинарные файлы поддельного NetExtender, чтобы информация, связанная с конфигурацией VPN, была украдена и отправлена на удаленный сервер, сказал Ганачари. Модифицированный установщик — подписанный CITYLIGHT MEDIA PRIVATE LIMITED — обходит проверки цифровых сертификатов. Когда пользователь вводит свои учетные данные VPN и нажимает "Подключиться", вредоносное ПО передает такие данные, как имя пользователя, пароль и домен, на удаленный сервер через интернет.
Распространение этого вредоносного программного обеспечения, вероятно, нацеливалось на пользователей, которые искали приложение NetExtender в поисковых системах, направляя их на фишинговые сайты с помощью таких тактик, как оптимизация поисковых систем, малвертинг или ссылки в социальных сетях. Следователи обнаружили, что измененный установщик содержал два ключевых компонента: "NeService.exe" и "NetExtender.exe", которые оба были модифицированы для кражи данных и обхода проверки сертификатов.
Тем временем, отдельная кампания, описанная немецкой компанией G DATA, злоупотребила подписями программного обеспечения ConnectWise, в группе активности, названной EvilConwi. Нападающие использовали метод, называемый Authenticode stuffing — который добавляет вредоносный код, не нарушая доверительной цифровой подписи программы. Этот метод позволил угрозам оставаться незамеченными, используя казалось бы легитимные процессы программного обеспечения.
Эти атаки начинаются с фишинговых писем, ведущих к поддельным загрузкам. Вредоносное программное обеспечение внедряет шпионское ПО под прикрытием знакомых брендов, иногда отображая поддельные экраны обновления Windows, чтобы помешать пользователям выключать свои компьютеры. Исследователь безопасности Карстен Хан отметил, что злоумышленники использовали поддельные рекламные акции AI и вводящие в заблуждение визуальные обновления, чтобы обмануть пользователей и оставить их системы уязвимыми для удаленного доступа.
Обе кампании полагались на известные обходные пути безопасности, позволяя злоумышленникам собирать данные пользователей, минимизируя при этом обнаружение стандартными средствами безопасности.