Un actor de amenaza desconocido distribuyó una versión trailerizada de la aplicación SSL VPN Netextender en SonicWall y robó credenciales de usuarios desprevenidos que pueden haberlo instalado.
«Netextender permite a los usuarios remotos conectar y ejecutar aplicaciones de forma segura en la red de su empresa», dijo Sravan Ganachari, investigador de SonicWall. «Los usuarios pueden cargar y descargar archivos, acceder a unidades de red y usar otros recursos como si estuvieran en una red local».
La carga útil maliciosa entregada a través del software Rogue VPN fue llamado Silentroute por Microsoft y junto con la compañía de seguridad de la red detectó la campaña.
Se ha descubierto que SonicWall es con la mano de malware con Netextender, que se hace pasar por la última versión del software (10.3.2.27), y luego se distribuye a través de sitios web falsos que se han eliminado. El instalador está firmado digitalmente por Citylight Media Private Limited. «
Esto sugiere que la campaña está dirigida a los usuarios que buscan netextender en motores de búsqueda como Google y Bing, y que están instalando a través de sitios falsificados propagados a través de tecnologías conocidas como el phishing de lanza, la adicción a la optimización de motores de búsqueda (SEO), el fraude y la publicación de los medios sociales.
Se han modificado dos componentes diferentes del instalador para facilitar la eliminación de la información de configuración al servidor remoto bajo el control del atacante.
Estos incluyen «neservice.exe» y «netextender.exe» que se modificaron para evitar la validación del certificado digital y continúan ejecutándose independientemente de los resultados de la verificación y eliminar la información más allá del puerto 8080 a 132.196.198 (.) 163.
«El actor de amenaza agregó código al binario instalado de Fake NetExtender para que la información relacionada con la configuración de VPN fuera robada y enviada al servidor remoto», dijo Ganachari.
«Cuando se ingresan los detalles de configuración de VPN y se hace clic en el botón ‘Connect’, el código malicioso realizará su propia validación antes de enviar datos al servidor remoto. La información de configuración robada incluye nombre de usuario, contraseña, dominio y más».
Amenazas de los actores abusar de las firmas de autentico de conexión
El desarrollo ocurre cuando G Data Detalte un clúster de actividad de amenaza llamado Divilsconwi.
La compañía alemana de ciberseguridad dijo que utilizó la técnica para observar un aumento en los ataques desde marzo de 2025. Las tensiones de infección utilizan principalmente correos electrónicos de phishing como vectores de acceso temprano o a través de sitios falsos que se promueven en Facebook como herramientas de inteligencia artificial (IA).
Estos mensajes de correo electrónico contienen un enlace OneDrive que usa el botón Ver PDF para redirigir a los destinatarios a la página Canva. Esto descargará y ejecutará el secreto del instalador de Connectwise.
El ataque funciona integrando configuraciones maliciosas en atributos no autenticados dentro de la firma Authenticode, proporcionando una pantalla de actualización falsa de Windows, evitando que los usuarios cierren el sistema e incluyen información sobre URL externos que establecen una conexión remota para el acceso persistente.
Lo que es notable sobre EvilConwi es que puede proporcionar a los actores maliciosos cobertura para operaciones maliciosas al hacerlo utilizando procesos confiables, legales y posiblemente altos de sistema o software, y por lo tanto volar bajo el radar.
«Al cambiar estas configuraciones, el actor de amenaza crea su propio malware de acceso remoto que pretende ser otro software, como un convertidor de IA a imagen con Google Chrome», dijo la investigadora de seguridad Karsten Hahn. «Generalmente también agregan imágenes y mensajes falsos de actualización de Windows, por lo que los usuarios no apagan el sistema y los actores de amenaza se conectan de forma remota a ellos».
Source link
