Trojanizado SonicWall NetExtender Alvo de Utilizadores de VPN Para Roubo de Credenciais

HomeNotícias* Ataques disseminam uma versão trojanizada da aplicação VPN NetExtender da SonicWall para roubar credenciais de login.

• O software falso, chamado SilentRoute, é distribuído a partir de um site falsificado e está assinado digitalmente para parecer genuíno.
• Código malicioso no instalador envia detalhes da configuração do VPN capturados—incluindo nomes de utilizador e palavras-passe—para um servidor remoto.
• Outra campanha, conhecida como EvilConwi, abusa das assinaturas ConnectWise para entregar Malware de acesso remoto através de phishing e sites falsos.
• Ambas as ameaças utilizam assinaturas confiáveis e visuais enganadores para enganar os utilizadores e contornar os verificações de segurança comuns. Atacantes desconhecidos distribuíram uma versão infectada por trojan da aplicação SonicWall NetExtender SSL VPN para capturar as credenciais dos utilizadores. O instalador adulterado, descoberto em junho de 2025, foi disfarçado como a versão oficial e foi distribuído através de um site falso que desde então foi encerrado.

• Anúncio - De acordo com o pesquisador da SonicWall Sravan Ganachari, o aplicativo legítimo NetExtender permite que os usuários remotos acessem recursos da rede da empresa de forma segura. A empresa, trabalhando com a Microsoft, identificou a variante maliciosa—codenome SilentRoute—que coleta informações sensíveis de configuração de VPN dos usuários.

O ator da ameaça adicionou código nos binários instalados do falso NetExtender para que informações relacionadas à configuração do VPN sejam roubadas e enviadas para um servidor remoto, disse Ganachari. O instalador manipulado—assinado pela CITYLIGHT MEDIA PRIVATE LIMITED—ignora as verificações de certificado digital. Quando um usuário insere suas credenciais de VPN e clica em "Conectar", o malware transmite detalhes como nome de usuário, senha e domínio para um servidor remoto através da internet.

A propagação deste software malicioso provavelmente visou utilizadores que procuraram pela aplicação NetExtender em motores de busca, levando-os a sites de phishing através de táticas como otimização para motores de busca, malvertising ou links em redes sociais. Os investigadores descobriram que o instalador alterado continha dois componentes chave, "NeService.exe" e "NetExtender.exe," que foram ambos modificados para roubo de dados e bypass de validação de certificados.

Entretanto, uma campanha separada descrita pela empresa alemã G DATA abusou das assinaturas de software ConnectWise, em um grupo de atividade denominado EvilConwi. Os atacantes usaram um método chamado Authenticode stuffing—que adiciona código malicioso sem quebrar a assinatura digital confiável do programa. Este método permitiu que ameaças passassem despercebidas, utilizando processos de software que parecem legítimos.

Esses ataques começam com e-mails de phishing que levam a downloads falsos. O software malicioso implanta spyware sob a cobertura de marcas conhecidas, às vezes exibindo telas falsas de atualização do Windows para impedir que os usuários desliguem seus computadores. O pesquisador de segurança Karsten Hahn observou que os atacantes usaram promoções falsas de ferramentas de IA e visuais enganosos de atualização para enganar os usuários e manter seus sistemas vulneráveis ao acesso remoto.

Ambas as campanhas dependeram de soluções de segurança conhecidas, permitindo que os atacantes recolhessem dados dos utilizadores enquanto minimizavam a deteção por ferramentas de segurança padrão.

• Anúncio - #### Artigos Anteriores:

• A República irá oferecer Tokens Espelho que acompanham a SpaceX e a Anthropic para investidores de retalho.
• Bitcoin dispara para $107K à medida que as esperanças de corte de taxas da Fed e os medos geopolíticos diminuem
• Índice CoinDesk 20 Sobe 0,5% com BCH e SOL em Destaque; APT e AAVE em Baixa
• Hacktivistas pró-Irã vazam dados de atletas e visitantes de Jogos Sauditas online
• O Hana Bank junta-se ao Consórcio de Stablecoin Coreano, entra com pedido de marca registrada

• Anúncio -