脅威アクターは、偽のNetExtenderのインストールされたバイナリにコードを追加し、VPN設定に関連する情報が盗まれてリモートサーバーに送信されるようにしたとガナチャリ氏は述べた。操作されたインストーラーは、CITYLIGHT MEDIA PRIVATE LIMITEDによって署名されており、デジタル証明書のチェックをバイパスする。ユーザーがVPNの認証情報を入力し、「接続」をクリックすると、マルウェアはユーザー名、パスワード、ドメインなどの詳細をインターネット経由でリモートサーバーに送信する。
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
トロイの木馬化されたSonicWall NetExtenderがVPNユーザーを標的にして資格情報を盗む
ホームニュース* 攻撃者は、ログイン資格情報を盗むために、SonicWall の NetExtender VPN アプリのトロイの木馬化されたバージョンを広めました。
脅威アクターは、偽のNetExtenderのインストールされたバイナリにコードを追加し、VPN設定に関連する情報が盗まれてリモートサーバーに送信されるようにしたとガナチャリ氏は述べた。操作されたインストーラーは、CITYLIGHT MEDIA PRIVATE LIMITEDによって署名されており、デジタル証明書のチェックをバイパスする。ユーザーがVPNの認証情報を入力し、「接続」をクリックすると、マルウェアはユーザー名、パスワード、ドメインなどの詳細をインターネット経由でリモートサーバーに送信する。
この悪質なソフトウェアの拡散は、検索エンジンでNetExtenderアプリを検索したユーザーを標的にした可能性が高く、検索エンジン最適化、マルバタイジング、またはソーシャルメディアリンクなどの手法を通じてフィッシングサイトに誘導されました。調査者は、改変されたインストーラーには、データ窃盗と証明書検証の回避のために両方とも改造された2つの重要なコンポーネント「NeService.exe」と「NetExtender.exe」が含まれていることを発見しました。
一方、ドイツの会社G DATAによって説明された別のキャンペーンは、EvilConwiと呼ばれる活動グループでConnectWiseソフトウェアの署名を悪用しています。攻撃者は、プログラムの信頼されたデジタル署名を破壊することなく悪意のあるコードを追加するAuthenticode stuffingという方法を使用しました。この方法により、正当なソフトウェアプロセスを使用して脅威が検出されないようにしました。
これらの攻撃は、偽のダウンロードにつながるフィッシングメールから始まります。悪意のあるソフトウェアは、馴染みのあるブランドのカバーの下でスパイウェアを埋め込み、時にはユーザーがコンピュータをシャットダウンできないように偽のWindows更新画面を表示します。セキュリティ研究者のカーステン・ハーンは、攻撃者が偽のAIツールのプロモーションや誤解を招く更新ビジュアルを使用してユーザーを騙し、システムをリモートアクセスに対して脆弱な状態に保っていることに注意を促しました。
両方のキャンペーンは、既知のセキュリティ回避策に依存しており、攻撃者が標準のセキュリティツールによる検出を最小限に抑えながらユーザーデータを収集することを可能にしました。
-広告-