Неизвестные злоумышленники распространяют троянскую версию приложения SonicWall SSL VPN NetExtender, заманивая пользователей на установку и похищая их учетные данные.
«NetExtender позволяет удалённым сотрудникам безопасно подключаться и работать с корпоративными приложениями», — рассказывает исследователь SonicWall Срован Ганахари. «Пользователи могут загружать и скачивать файлы, работать с сетевыми накопителями и другими ресурсами так, словно находятся в офисной сети.»
Вредоносный модуль, который злоумышленники распространяют через поддельное VPN-приложение, получил имя SilentRoute. Его обнаружили специалисты Microsoft совместно с командой по безопасности SonicWall.
SonicWall предупреждает, что заражённый NetExtender маскируется под последнюю версию программы (10.3.2.27), распространяясь через фальшивый сайт, который сейчас уже закрыт. Инсталлятор имеет цифровую подпись CITYLIGHT MEDIA PRIVATE LIMITED.
Это говорит о том, что атака направлена на пользователей, которые ищут NetExtender через поисковики, такие как Google или Bing. Им подсовывают вредоносное ПО через поддельные сайты, созданные с помощью фишинга, SEO-отравления, зловредной рекламы и соцсетей.
В состав инсталлятора входят два компонента — NeService.exe и NetExtender.exe, которые были модифицированы, чтобы слать конфигурационные данные на удалённый сервер, контролируемый преступниками.
Эти компоненты обходят проверку цифровых сертификатов остальных модулей NetExtender и продолжают работать, независимо от результатов проверки, отправляя данные на IP 132.196.198[.]163 через порт 8080.
«Код, спрятанный в поддельном NetExtender, похищает VPN-данные и отправляет их на удалённый сервер», — поясняет Ганахари.
«После ввода логина и пароля и нажатия кнопки «Подключиться» троян сначала проверяет данные локально, а потом шлёт имя пользователя, пароль, домен и другую информацию злоумышленникам.»
Хакеры маскируют атаки под подписи ConnectWise
Параллельно немецкая компания G DATA описала серию атак под кодовым названием EvilConwi, где преступники используют ConnectWise, внедряя вредоносный код через метод Authenticode stuffing — при этом цифровые подписи остаются без повреждений.
С марта 2025 года число подобных атак значительно выросло. Чаще всего они начинаются с фишинговых сообщений или фальшивых страниц с предложениями ИИ-инструментов на Facebook.
В письмах есть ссылка на OneDrive, которая переадресует на страницу Canva с кнопкой «Просмотреть PDF». При нажатии тайно скачивается и запускается вредоносный установщик ConnectWise.
Атаки работают так, что вредоносные настройки вставляются в неподтверждённые атрибуты Authenticode, после чего отображается поддельный экран Windows-обновления, а опция выключения компьютера блокируется, чтобы злоумышленники могли поддерживать постоянный удалённый доступ.
Особенность EvilConwi в том, что злоумышленники замаскированы под доверенное и, возможно, с расширенными правами ПО, что помогает им оставаться незамеченными.
«Изменяя параметры, хакеры создают своё вредоносное ПО для удалённого доступа под видом другого софта — например, конвертера изображений на базе ИИ от Google Chrome», — объясняет эксперт по безопасности Карстен Хан. «Они часто вставляют фальшивые окна обновления Windows, чтобы пользователь не выключил компьютер, пока происходит подключение злоумышленников.»
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru