Phần mềm Trojan hóa SonicWall NetExtender nhắm đến người dùng VPN để đánh cắp thông tin đăng nhập

HomeNews* Kẻ tấn công phát tán một phiên bản trojan của ứng dụng VPN NetExtender của SonicWall để đánh cắp thông tin đăng nhập.

• Phần mềm giả mạo, có tên là SilentRoute, được phân phối từ một trang web giả mạo và được ký số để trông có vẻ hợp pháp.
• Mã độc trong trình cài đặt gửi thông tin cấu hình VPN bị ghi lại—bao gồm tên người dùng và mật khẩu—đến một máy chủ từ xa.
• Một chiến dịch khác, được biết đến với tên gọi EvilConwi, lợi dụng chữ ký ConnectWise để phát tán phần mềm độc hại truy cập từ xa thông qua lừa đảo và các trang web giả.
• Cả hai mối đe dọa đều sử dụng chữ ký đáng tin cậy và hình ảnh gây hiểu lầm để lừa đảo người dùng và vượt qua các kiểm tra bảo mật thông thường. Các kẻ tấn công không xác định đã phân phối một phiên bản ứng dụng SonicWall NetExtender SSL VPN bị nhiễm trojan để thu thập thông tin xác thực của người dùng. Trình cài đặt bị chỉnh sửa, được phát hiện vào tháng 6 năm 2025, đã được ngụy trang thành phiên bản chính thức và đã được phân phối qua một trang web giả mạo đã bị đóng cửa.

• Quảng cáo - Theo nhà nghiên cứu SonicWall Sravan Ganachari, ứng dụng NetExtender hợp pháp cho phép người dùng từ xa truy cập tài nguyên mạng công ty một cách an toàn. Công ty, làm việc với Microsoft, đã xác định biến thể độc hại - được đặt tên mã là SilentRoute - thu thập thông tin cấu hình VPN nhạy cảm từ người dùng.

Tác nhân đe dọa đã thêm mã vào các tệp nhị phân đã cài đặt của NetExtender giả mạo để thông tin liên quan đến cấu hình VPN bị đánh cắp và gửi đến một máy chủ từ xa, Ganachari cho biết. Trình cài đặt bị thao túng—được ký bởi CITYLIGHT MEDIA PRIVATE LIMITED—bỏ qua kiểm tra chứng chỉ số. Khi người dùng nhập thông tin xác thực VPN và nhấp vào "Kết nối," phần mềm độc hại sẽ truyền tải chi tiết như tên người dùng, mật khẩu và miền đến một máy chủ từ xa qua internet.

Sự lan rộng của phần mềm độc hại này có khả năng nhắm mục tiêu vào người dùng tìm kiếm ứng dụng NetExtender trên các công cụ tìm kiếm, dẫn họ đến các trang lừa đảo thông qua các chiến thuật như tối ưu hóa công cụ tìm kiếm, quảng cáo độc hại, hoặc liên kết mạng xã hội. Các nhà điều tra phát hiện ra rằng trình cài đặt đã bị thay đổi chứa hai thành phần chính, "NeService.exe" và "NetExtender.exe," cả hai đều đã được sửa đổi để đánh cắp dữ liệu và bỏ qua xác thực chứng chỉ.

Trong khi đó, một chiến dịch riêng biệt được mô tả bởi công ty Đức G DATA đã lạm dụng chữ ký phần mềm ConnectWise, trong một nhóm hoạt động được gọi là EvilConwi. Các kẻ tấn công đã sử dụng một phương pháp gọi là Authenticode stuffing—phương pháp này thêm mã độc mà không phá vỡ chữ ký số đáng tin cậy của chương trình. Phương pháp này cho phép các mối đe dọa không bị phát hiện bằng cách sử dụng các quy trình phần mềm có vẻ hợp pháp.

Các cuộc tấn công này bắt đầu với các email lừa đảo dẫn đến việc tải xuống giả. Phần mềm độc hại cài cắm phần mềm gián điệp dưới vỏ bọc của các thương hiệu quen thuộc, đôi khi hiển thị các màn hình cập nhật Windows giả để ngăn người dùng tắt máy tính của họ. Nhà nghiên cứu bảo mật Karsten Hahn đã lưu ý rằng những kẻ tấn công đã sử dụng các chương trình khuyến mãi công cụ AI giả và hình ảnh cập nhật gây hiểu lầm để đánh lừa người dùng và giữ cho hệ thống của họ dễ bị tổn thương trước quyền truy cập từ xa.

Cả hai chiến dịch đều dựa vào các biện pháp an ninh đã biết, cho phép kẻ tấn công thu thập dữ liệu người dùng trong khi giảm thiểu khả năng bị phát hiện bởi các công cụ an ninh tiêu chuẩn.

• Quảng cáo - #### Bài viết trước:

• Cộng hòa sẽ cung cấp các token phản chiếu theo dõi SpaceX, Anthropic cho các nhà đầu tư bán lẻ
• Bitcoin Tăng vọt lên $107K khi Hy vọng Cắt giảm Lãi suất của Fed, Nỗi lo về Địa chính trị Giảm bớt
• Chỉ số CoinDesk 20 Tăng 0,5% khi BCH, SOL Dẫn Đầu; APT, AAVE Lùi Bước
• Tin tặc ủng hộ Iran rò rỉ dữ liệu vận động viên và khách thăm của Saudi Games lên mạng
• Ngân hàng Hana tham gia liên minh stablecoin Hàn Quốc, nộp đơn đăng ký thương hiệu

• Quảng cáo -