تم استهداف مستخدمي VPN من خلال برنامج Trojanized SonicWall NetExtender لسرقة بيانات الاعتماد

الصفحة الرئيسيةالأخبار* هاجم المهاجمون نسخة مصابة من تطبيق SonicWall NetExtender VPN لسرقة بيانات اعتماد تسجيل الدخول.

• البرنامج المزيف، المسمى SilentRoute، يتم توزيعه من موقع مزيف ويتم توقيعه رقميًا ليبدو أصليًا.
• الكود الضار في المثبت يرسل تفاصيل تكوين VPN الملتقطة - بما في ذلك أسماء المستخدمين وكلمات المرور - إلى خادم بعيد.
• حملة أخرى، تُعرف بإسم EvilConwi، تستغل توقيعات ConnectWise لتوصيل برامج ضارة للوصول عن بُعد من خلال التصيد الاحتيالي والمواقع المزيفة.
• كلا التهديدين يستخدمان توقيعات موثوقة ومرئيات مضللة لخداع المستخدمين وتجاوز الفحوصات الأمنية الشائعة. قام مهاجمون مجهولون بتوزيع نسخة مصابة بفيروس حصان طروادة من تطبيق SonicWall NetExtender SSL VPN لالتقاط بيانات اعتماد المستخدمين. تم اكتشاف المثبت المعدل في يونيو 2025، وقد تم تمويهه كنسخة رسمية وتم توزيعه من خلال موقع وهمي تم إغلاقه منذ ذلك الحين.

• إعلان - وفقًا للباحث في SonicWall سرافان غاناتشاري، فإن تطبيق NetExtender الشرعي يتيح للمستخدمين البعيدين الوصول إلى موارد شبكة الشركة بأمان. وقد حددت الشركة، بالتعاون مع Microsoft، النسخة الضارة المسماة SilentRoute، والتي تجمع معلومات تكوين VPN الحساسة من المستخدمين.

قال جاناشاري إن الفاعل الخبيث أضاف رمزًا في الثنائيات المثبتة من NetExtender المزيف بحيث يتم سرقة المعلومات المتعلقة بتكوين VPN وإرسالها إلى خادم بعيد. يتجاوز المثبت المعدل - الموقع من قبل CITYLIGHT MEDIA PRIVATE LIMITED - فحوصات الشهادات الرقمية. عندما يدخل المستخدم بيانات اعتماد VPN الخاصة به ويضغط على "اتصال"، يقوم البرمجيات الخبيثة بنقل تفاصيل مثل اسم المستخدم وكلمة المرور والنطاق إلى خادم بعيد عبر الإنترنت.

من المحتمل أن تكون انتشار هذا البرنامج الضار قد استهدف المستخدمين الذين بحثوا عن تطبيق NetExtender على محركات البحث، مما أدى بهم إلى مواقع تصيد عبر تكتيكات مثل تحسين محركات البحث، والإعلانات الضارة، أو روابط وسائل التواصل الاجتماعي. وجد المحققون أن المثبت المعدل يحتوي على مكونين رئيسيين، "NeService.exe" و"NetExtender.exe"، واللذان تم تعديلهما لسرقة البيانات وتجاوز التحقق من الشهادات.

في الوقت نفسه، قامت شركة G DATA الألمانية بحملة منفصلة استغلت توقيعات برنامج ConnectWise، في مجموعة نشاط أُطلق عليها EvilConwi. استخدم المهاجمون طريقة تُدعى حقن Authenticode - والتي تضيف كودًا خبيثًا دون كسر التوقيع الرقمي الموثوق للبرنامج. سمحت هذه الطريقة بتمرير التهديدات دون اكتشاف من خلال استخدام عمليات برامج تبدو شرعية.

تبدأ هذه الهجمات برسائل بريد إلكتروني تصيد تؤدي إلى تنزيلات وهمية. يقوم البرنامج الضار بزراعة برامج التجسس تحت غطاء علامات تجارية مألوفة، ويعرض أحيانًا شاشات تحديث ويندوز مزيفة لمنع المستخدمين من إيقاف تشغيل أجهزة الكمبيوتر الخاصة بهم. أشار الباحث الأمني كارستن هان إلى أن المهاجمين استخدموا ترويج أدوات الذكاء الاصطناعي المزيفة ومرئيات التحديث المضللة لخداع المستخدمين والحفاظ على أنظمتهم عرضة للوصول عن بُعد.

اعتمدت الحملتان على حلول أمان معروفة، مما سمح للمهاجمين بجمع بيانات المستخدمين مع تقليل الكشف من قبل أدوات الأمان القياسية.

• إعلان - #### المقالات السابقة:

• الجمهورية ستقدم رموز مرآة تتبع SpaceX وAnthropic للمستثمرين الأفراد
• ارتفعت بيتكوين إلى 107K دولار مع تراجع آمال خفض الفائدة من الاحتياطي الفيدرالي ومخاوف الجغرافيا السياسية
• مؤشر CoinDesk 20 يرتفع بنسبة 0.5% مع قيادة BCH و SOL؛ وتأخر APT و AAVE
• هاكرز مؤيدون لإيران يسرّبون بيانات الرياضيين والزوار السعوديين على الإنترنت
• انضمت بنك هانا إلى اتحاد العملات المستقرة الكورية، وتقدمت بطلب للحصول على علامة تجارية

• إعلان -