特洛伊木馬化的 SonicWall NetExtender 針對 VPN 用戶進行憑證盜竊

首頁新聞* 攻擊者傳播了一個SonicWall的NetExtender VPN應用的木馬版本，以竊取登入憑據。

• 這種名爲 SilentRoute 的假軟件是從一個僞造的網站分發的，並且經過數字籤名以顯得真實。
• 安裝程序中的惡意代碼將捕獲的VPN配置細節，包括用戶名和密碼，發送到遠程服務器。
• 另一個名爲 EvilConwi 的活動利用 ConnectWise 籤名通過網絡釣魚和假網站傳播遠程訪問惡意軟件。
• 兩種威脅都使用可信的籤名和誤導性的視覺效果來欺騙用戶，並繞過常見的安全檢查。 未知攻擊者分發了一個感染木馬的 SonicWall NetExtender SSL VPN 應用程序版本，以捕獲用戶憑證。該篡改的安裝程序於2025年6月被發現，僞裝成官方版本，並通過一個已經關閉的假網站進行分發。

• 廣告 - 根據SonicWall研究員Sravan Ganachari的說法，合法的NetExtender應用程序允許遠程用戶安全地訪問公司網路資源。該公司與Microsoft合作，識別了惡意變種——代號SilentRoute——該變種收集用戶的敏感VPN配置信息。

威脅演員在僞造的 NetExtender 安裝的二進制文件中添加了代碼，以便竊取與 VPN 配置相關的信息並發送到遠程服務器， Ganachari 說。該被操控的安裝程序——由 CITYLIGHT MEDIA PRIVATE LIMITED 籤名——繞過了數字證書檢查。當用戶輸入他們的 VPN 憑據並點擊 “連接” 時，惡意軟件會通過互聯網將用戶名、密碼和域等詳細信息傳輸到遠程服務器。

這種流氓軟件的傳播很可能是針對在搜索引擎上搜索 NetExtender 應用的用戶，通過搜索引擎優化、惡意廣告或社交媒體連結等手段將他們引導至網絡釣魚網站。調查人員發現，經過更改的安裝程序包含兩個關鍵組件："NeService.exe" 和 "NetExtender.exe"，這兩個組件都經過修改以進行數據盜竊和證書驗證繞過。

與此同時，德國公司 G DATA 描述的另一個活動利用了 ConnectWise 軟件籤名，形成了一個名爲 EvilConwi 的活動組。攻擊者使用了一種稱爲 Authenticode stuffing 的方法——即在不破壞程序可信數字籤名的情況下添加惡意代碼。這種方法使得威脅得以通過看似合法的軟件進程而未被發現。

這些攻擊始於釣魚郵件，導致虛假下載。惡意軟件在熟悉品牌的掩護下植入間諜軟件，有時顯示虛假的 Windows 更新屏幕，以防止用戶關閉計算機。安全研究員 Karsten Hahn 指出，攻擊者利用虛假的 AI 工具促銷和誤導性的更新視覺效果來欺騙用戶，使他們的系統持續易受遠程訪問的攻擊。

兩個活動依賴於已知的安全變通方案，使攻擊者能夠收集用戶數據，同時最小化被標準安全工具檢測到的風險。

• 廣告 - #### 之前的文章：

• 共和國將向零售投資者提供跟蹤 SpaceX 和 Anthropic 的鏡像代幣
• 比特幣飆升至107K美元，因聯準會降息預期和地緣政治恐慌緩解
• CoinDesk 20 指數漲 0.5%，BCH、SOL 領漲;APT、AAVE 滯後
• 親伊朗黑客活動分子在線泄露沙特體育運動員和訪客數據
• Hana Bank 加入韓國穩定幣聯盟，申請商標

• 廣告 -