特洛伊木马化的 SonicWall NetExtender 针对 VPN 用户进行凭证盗窃

首页新闻* 攻击者传播了一个SonicWall的NetExtender VPN应用的木马版本，以窃取登录凭据。

• 这种名为 SilentRoute 的假软件是从一个伪造的网站分发的，并且经过数字签名以显得真实。
• 安装程序中的恶意代码将捕获的VPN配置细节，包括用户名和密码，发送到远程服务器。
• 另一个名为 EvilConwi 的活动利用 ConnectWise 签名通过网络钓鱼和假网站传播远程访问恶意软件。
• 两种威胁都使用可信的签名和误导性的视觉效果来欺骗用户，并绕过常见的安全检查。 未知攻击者分发了一个感染木马的 SonicWall NetExtender SSL VPN 应用程序版本，以捕获用户凭证。该篡改的安装程序于2025年6月被发现，伪装成官方版本，并通过一个已经关闭的假网站进行分发。

• 广告 - 根据SonicWall研究员Sravan Ganachari的说法，合法的NetExtender应用程序允许远程用户安全地访问公司网络资源。该公司与Microsoft合作，识别了恶意变种——代号SilentRoute——该变种收集用户的敏感VPN配置信息。

威胁演员在伪造的 NetExtender 安装的二进制文件中添加了代码，以便窃取与 VPN 配置相关的信息并发送到远程服务器， Ganachari 说。该被操控的安装程序——由 CITYLIGHT MEDIA PRIVATE LIMITED 签名——绕过了数字证书检查。当用户输入他们的 VPN 凭据并点击 “连接” 时，恶意软件会通过互联网将用户名、密码和域等详细信息传输到远程服务器。

这种流氓软件的传播很可能是针对在搜索引擎上搜索 NetExtender 应用的用户，通过搜索引擎优化、恶意广告或社交媒体链接等手段将他们引导至网络钓鱼网站。调查人员发现，经过更改的安装程序包含两个关键组件："NeService.exe" 和 "NetExtender.exe"，这两个组件都经过修改以进行数据盗窃和证书验证绕过。

与此同时，德国公司 G DATA 描述的另一个活动利用了 ConnectWise 软件签名，形成了一个名为 EvilConwi 的活动组。攻击者使用了一种称为 Authenticode stuffing 的方法——即在不破坏程序可信数字签名的情况下添加恶意代码。这种方法使得威胁得以通过看似合法的软件进程而未被发现。

这些攻击始于钓鱼邮件，导致虚假下载。恶意软件在熟悉品牌的掩护下植入间谍软件，有时显示虚假的 Windows 更新屏幕，以防止用户关闭计算机。安全研究员 Karsten Hahn 指出，攻击者利用虚假的 AI 工具促销和误导性的更新视觉效果来欺骗用户，使他们的系统持续易受远程访问的攻击。

两个活动依赖于已知的安全变通方案，使攻击者能够收集用户数据，同时最小化被标准安全工具检测到的风险。

• 广告 - #### 之前的文章：

• 共和国将向零售投资者提供跟踪 SpaceX 和 Anthropic 的镜像代币
• 比特币飙升至107K美元，因美联储降息预期和地缘政治恐慌缓解
• CoinDesk 20 指数上涨 0.5%，BCH、SOL 领涨;APT、AAVE 滞后
• 亲伊朗黑客活动分子在线泄露沙特体育运动员和访客数据
• Hana Bank 加入韩国稳定币联盟，申请商标

• 广告 -