A SonicWall está alertando seus clientes de que cibercriminosos estão distribuindo uma versão trojanizada do seu cliente VPN SSL NetExtender, usada para roubar credenciais de VPN.
O software falso, que foi descoberto pelos pesquisadores da SonicWall e do Microsoft Threat Intelligence (MSTIC), imita a legítima versão NetExtender v10.3.2.27, a mais recente disponível.
O arquivo instalador malicioso está hospedado em um site falsificado, feito para parecer autêntico, enganando os visitantes a pensar que estão baixando software da SonicWall.
Embora o arquivo instalador não seja digitalmente assinado pela SonicWall, ele é assinado pela "CITYLIGHT MEDIA PRIVATE LIMITED", permitindo que ele contorne defesas elementares.
O objetivo da aplicação trojanizada é roubar configurações de VPN e credenciais de conta, e exfiltrar esses dados para o atacante.
O NetExtender da SonicWall é um cliente VPN de acesso remoto que permite aos usuários se conectar de maneira segura à rede interna de sua organização a partir de localizações remotas.
É especificamente projetado para trabalhar com aparelhos de VPN SSL e firewalls da SonicWall, e é tipicamente usado por funcionários remotos de pequenas e médias empresas, administradores de TI e contratados em uma ampla gama de tipos de indústria.
A SonicWall e a Microsoft encontraram dois binários modificados do seu produto distribuídos pelos sites falsificados.
Um NeService.exe modificado com sua lógica de validação alterada para contornar verificações de certificado digital e o arquivo NetExtender.exe, que foi modificado para roubar dados.
"Código adicional foi adicionado para enviar informações de configuração de VPN para um servidor remoto com o endereço IP 132.196.198.163 pela porta 8080", explica o aviso da SonicWall.
"Uma vez que os detalhes de configuração da VPN são inseridos e o botão “Connect” é clicado, o código malicioso realiza sua própria validação antes de enviar os dados para o servidor remoto.
As informações de configuração roubadas incluem o nome de usuário, senha, domínio e mais."
A SonicWall recomenda que os usuários baixem software apenas dos portais oficiais em sonicwall.com e mysonicwall.com.
As ferramentas de segurança da empresa e o Microsoft Defender agora detectam e bloqueiam instaladores maliciosos, embora outras ferramentas de segurança possam não fazê-lo.
Geralmente, as pessoas são redirecionadas para sites falsificados que entregam instaladores trojanizados via malvertising, SEO poisoning, mensagens diretas, posts em fóruns e vídeos no YouTube ou TikTok.
Ao baixar software, use o site oficial do fornecedor e ignore todos os resultados promovidos.
Além disso, sempre escaneie os arquivos baixados em um AV atualizado antes de executá-los no seu dispositivo.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...