SonicWall avertizează cu privire la un nou Trojan NetExtender

SonicWall avertizează utilizatorii că persoanele rău intenționate distribuie o versiune trojanizată a clientului său NetExtender SSL VPN utilizată pentru a sustrage credențialele VPN.

Software-ul fals imită versiunea legitimă NetExtender v10.3.2.27, cea mai recentă versiune disponibilă.

Fișierul de instalare malițios este găzduit pe un site web falsificat care este făcut să pară autentic, păcălind utilizatorii să creadă că descarcă software de la SonicWall. Deși fișierul de instalare nu este semnat digital de SonicWall, acesta este semnat de CITYLIGHT MEDIA PRIVATE LIMITED, ceea ce îi permite să ocolească sistemul de apărare elementar.

Scopul aplicației trojanizate este de a sustrage configurația VPN și credențialele contului și de a le exfiltra către atacator.

SonicWall și Microsoft au identificat două binare modificate ale produsului lor distribuite de site-urile spoofed rău intenționate.

Un NeService.exe modificat, cu logica sa de validare modificată pentru a ocoli verificările certificatelor digitale și fișierul NetExtender.exe, care a fost modificat pentru a sustrage date.

Odată ce detaliile de configurare VPN sunt introduse și se accesează butonul Connect, codul malițios introdus efectuează propria validare înainte de a trimite datele către serverul la distanță. Informațiile de configurare sustrase includ numele de utilizator, parola, domeniul și multe altele, au semnalat cei de la SonicWall.

Sonicwall recomandă utilizatorilor să descarce software numai de pe portalurile oficiale sonicwall.com și mysonicwall.com.

Instrumentele de securitate ale firmei și Microsoft Defender detectează și blochează programele de instalare malițioase, deși alte instrumente de securitate ar putea să nu o facă.

Sursă: https://www.bleepingcomputer.com/news/security/sonicwall-warns-of-trojanized-netextender-stealing-vpn-logins/