Los actores de amenaza desconocidos han estado distribuyendo una lectura troyanizada de la aplicación SSL VPN Netextender de Sonicwall para robar credenciales de usuarios desprevenidos que pueden haberlo instalado.
«NetExtender permite que los usuarios remotos conecten y ejecutaran aplicaciones de forma segura en la red de la compañía», dijo el investigador de Sonicwall Sravan Ganachari. «Los usuarios pueden cargar y descargar archivos, alcanzar a unidades de red y usar otros fortuna como si estuvieran en la red locorregional».
La carga útil maliciosa entregada a través del software Rogue VPN ha sido notorio en código Silentroute por Microsoft, que detectó la campaña contiguo con la compañía de seguridad de la red.
Sonicwall dijo que el netextender con malware se hace advenir por la última lectura del software (10.3.2.27) y se ha opuesto que se distribuye a través de un sitio web espurio que desde entonces se ha eliminado. El instalador está firmado digitalmente por Citylight Media Private Limited «.
Esto sugiere que la campaña está dirigida a los usuarios que buscan netextender en motores de búsqueda como Google o Bing, y los engañan para que la instale a través de sitios falsificados propagados a través de técnicas conocidas como Phishing-Phishing, envenenamiento de la optimización de motores de búsqueda (SEO), malvado o publicaciones en las redes sociales.
Se han modificado dos componentes diferentes del instalador para proveer la exfiltración de la información de configuración a un servidor remoto bajo el control del atacante.
Estos incluyen «neservice.exe» y «netextender.exe», que se han sofocado para evitar la fuerza de certificados digitales varios componentes de Netextender y continuar la ejecución independientemente de los resultados de fuerza y exfiltrar la información al 132.196.198 (.) 163 sobre el puerto 8080.
«El actor de amenaza agregó el código en los binarios instalados del NetExtender espurio para que la información relacionada con la configuración de VPN sea robada y enviada a un servidor remoto», dijo Ganachari.
«Una vez que se ingresan los detalles de configuración de VPN y se hace clic en el llamador» Connect «, el código astuto realiza su propia fuerza ayer de remitir los datos al servidor remoto. La información de configuración robada incluye el nombre de beneficiario, la contraseña, el dominio y más».
Amenazas de los actores forzar de las firmas de autentico de conexión
El incremento se produce cuando G Data detalló un clúster de actividad de amenazas denominado EvilConwi que involucra a los malos actores que abusan de Connectwise para damasquinar el código astuto utilizando una técnica emplazamiento relleno Authenticode sin invalidar la firma digital.
La compañía alemana de ciberseguridad dijo que ha observado un aumento en los ataques que utilizan esta técnica desde marzo de 2025. Las cadenas de infección aprovechan principalmente los correos electrónicos de phishing como un vector de entrada original o a través de sitios falsos anunciados como herramientas de inteligencia químico (IA) en Facebook.
Estos mensajes de correo electrónico contienen un enlace OneDrive que redirige a los destinatarios a una página de Canva con un llamador «Ver PDF», que da como resultado la descarga y ejecución subrepticios de un instalador de Connectwise.
Los ataques funcionan implantando configuraciones maliciosas en atributos no autenticados en el interior de la firma Authenticode para servir a una pantalla de modernización de Windows falsa y evitar que los usuarios cierren sus sistemas, así como incluir información sobre la URL externa a la que se debe establecer la conexión remota para un entrada persistente.
Lo que hace que EvilConwi sea trascendental es que ofrece a los actores maliciosos una cobertura para las operaciones nefastas mediante la realización de un sistema o un proceso de software de confianza, genuino y tal vez elevado, lo que les permite explosionar bajo el radar.
«Al modificar estas configuraciones, los actores de amenaza crean su propio malware de entrada remoto que pretende ser un software diferente como un convertidor de IA a imagen de Google Chrome», dijo la investigadora de seguridad Karsten Hahn. «Comúnmente, además agregan imágenes y mensajes falsos de modernización de Windows, para que el beneficiario no apague el sistema, mientras que los actores de amenaza se conectan de forma remota a ellas».
