Фальшиве програмне забезпечення, яке називається SilentRoute, розповсюджується з підробленого веб-сайту і цифрово підписане, щоб виглядати справжнім.
Зловмисний код в інсталяторі надсилає захоплені деталі конфігурації VPN, включаючи імена користувачів та паролі, на віддалений сервер.
Ще одна кампанія, відома як EvilConwi, зловживає підписами ConnectWise для доставки шкідливого програмного забезпечення з віддаленим доступом через фішинг та підроблені сайти.
Обидві загрози використовують надійні підписи та оманливі візуальні елементи, щоб обманути користувачів і обійти звичайні перевірки безпеки.
Невідомі зловмисники розповсюдили версію програми SonicWall NetExtender SSL VPN, заражену трояном, щоб захопити облікові дані користувачів. Змінену установку, виявлену в червні 2025 року, було замасковано під офіційну версію і вона була розповсюджена через фальшивий веб-сайт, який згодом було закрито.
Реклама - Згідно з дослідженням SonicWall дослідника Сравана Ганачарі, легітимний додаток NetExtender дозволяє віддаленим користувачам безпечно отримувати доступ до ресурсів корпоративної мережі. Компанія, працюючи з Microsoft, виявила шкідливий варіант — під кодовою назвою SilentRoute — який збирає конфіденційну інформацію про VPN конфігурацію від користувачів.
Зловмисник додав код у встановлені бінарні файли підробленого NetExtender, щоб інформація, пов'язана з конфігурацією VPN, була вкрадена і надіслана на віддалений сервер, сказав Ганачарі. Маніпульований установник—підписаний CITYLIGHT MEDIA PRIVATE LIMITED—обминає перевірки цифрових сертифікатів. Коли користувач вводить свої облікові дані VPN і натискає "Підключитися", шкідливе ПЗ передає деталі, такі як ім'я користувача, пароль і домен, на віддалений сервер через інтернет.
Поширення цього шкідливого програмного забезпечення, ймовірно, було націлене на користувачів, які шукали додаток NetExtender у пошукових системах, ведучи їх на фішингові сайти за допомогою таких тактик, як оптимізація пошукових систем, малвертинг або посилання в соціальних мережах. Дослідники виявили, що змінений інсталятор містив два ключові компоненти, "NeService.exe" та "NetExtender.exe", які були обидва модифіковані для крадіжки даних та обходу валідації сертифікатів.
У той же час, окрема кампанія, описана німецькою компанією G DATA, зловживала підписами програмного забезпечення ConnectWise, в групі активності під назвою EvilConwi. Зловмисники використовували метод, званий Authenticode stuffing — який додає шкідливий код без порушення довіреної цифрової підпису програми. Цей метод дозволив загрозам залишатися непоміченими, використовуючи легітимні процеси програмного забезпечення.
Ці атаки починаються з фішингових електронних листів, що ведуть до підроблених завантажень. Шкідливе програмне забезпечення імплантує шпигунське програмне забезпечення під прикриттям знайомих брендів, іноді відображаючи підроблені екрани оновлення Windows, щоб не дати користувачам вимкнути свої комп'ютери. Дослідник безпеки Карстен Ган зазначив, що зловмисники використовували підроблені акції AI інструментів та оманливі візуали оновлень, щоб обманути користувачів і залишити їх системи вразливими до віддаленого доступу.
Обидві кампанії пок relied on відомі способи обходу безпеки, що дозволяло зловмисникам збирати дані користувачів при мінімізації виявлення стандартними інструментами безпеки.
Реклама - #### Попередні статті:
Республіка запропонує дзеркальні токени, що відстежують SpaceX та Anthropic, роздрібним інвесторам
Біткойн зростає до 107 тисяч доларів у зв'язку з надіями на зниження ставки Федрезерву та зменшенням геополітичних страхів
Індекс CoinDesk 20 зріс на 0,5% завдяки лідерству BCH, SOL; APT, AAVE відстають
Про-іранські хактивісти виклали онлайн дані спортсменів та відвідувачів Саудівської Аравії
Банк Хана приєднався до консорціуму корейських стейблкойнів, подав заявку на торгову марку
Реклама -
Переглянути оригінал
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Троянський SonicWall NetExtender націлений на користувачів VPN для викрадення облікових даних
ГоловнаНовини* Зловмисники розповсюдили троянську версію SonicWall‘s NetExtender VPN додатку для викрадення логінів.
Зловмисник додав код у встановлені бінарні файли підробленого NetExtender, щоб інформація, пов'язана з конфігурацією VPN, була вкрадена і надіслана на віддалений сервер, сказав Ганачарі. Маніпульований установник—підписаний CITYLIGHT MEDIA PRIVATE LIMITED—обминає перевірки цифрових сертифікатів. Коли користувач вводить свої облікові дані VPN і натискає "Підключитися", шкідливе ПЗ передає деталі, такі як ім'я користувача, пароль і домен, на віддалений сервер через інтернет.
Поширення цього шкідливого програмного забезпечення, ймовірно, було націлене на користувачів, які шукали додаток NetExtender у пошукових системах, ведучи їх на фішингові сайти за допомогою таких тактик, як оптимізація пошукових систем, малвертинг або посилання в соціальних мережах. Дослідники виявили, що змінений інсталятор містив два ключові компоненти, "NeService.exe" та "NetExtender.exe", які були обидва модифіковані для крадіжки даних та обходу валідації сертифікатів.
У той же час, окрема кампанія, описана німецькою компанією G DATA, зловживала підписами програмного забезпечення ConnectWise, в групі активності під назвою EvilConwi. Зловмисники використовували метод, званий Authenticode stuffing — який додає шкідливий код без порушення довіреної цифрової підпису програми. Цей метод дозволив загрозам залишатися непоміченими, використовуючи легітимні процеси програмного забезпечення.
Ці атаки починаються з фішингових електронних листів, що ведуть до підроблених завантажень. Шкідливе програмне забезпечення імплантує шпигунське програмне забезпечення під прикриттям знайомих брендів, іноді відображаючи підроблені екрани оновлення Windows, щоб не дати користувачам вимкнути свої комп'ютери. Дослідник безпеки Карстен Ган зазначив, що зловмисники використовували підроблені акції AI інструментів та оманливі візуали оновлень, щоб обманути користувачів і залишити їх системи вразливими до віддаленого доступу.
Обидві кампанії пок relied on відомі способи обходу безпеки, що дозволяло зловмисникам збирати дані користувачів при мінімізації виявлення стандартними інструментами безпеки.