- SonicWall advarer om hackere som sprer skadelig VPN-programvare
- NetExtender er blitt modifisert og spres via falske nettsteder
- Skadevaren stjeler påloggingsinformasjon og VPN-konfigurasjoner
Hackere har blitt oppdaget mens de distribuerte en forfalsket versjon av SonicWalls NetExtender SSL VPN-klient via svindelnettsteder som etterligner SonicWalls offisielle nettsted.
SonicWall og Microsoft Threat Intelligence Center (MSTIC) har identifisert den trojanske applikasjonen og utstedt en advarsel til brukere om ikke å laste ned den falske programvaren.
Siden NetExtender brukes som en VPN-klient for ekstern tilgang, kan stjålne VPN-konfigurasjoner og påloggingsinformasjon utgjøre en alvorlig risiko for både ansatte og bedrifter.
Falsk VPN-klient spres via svindelnettsted
Den falske VPN-klienten er signert med «CITYLIGHT MEDIA PRIVATE LIMITED», noe som gir den et visst nivå av troverdighet som kan lure de som leter etter enklere cyberbeskyttelse.
Filen spres gjennom SEO og ondsinnet reklame (malvertising), noe som kan føre til at det falske nettstedet vises øverst i søkeresultatene – spesielt i sponsede lenker.
SonicWall minner derfor brukere om alltid å laste ned programvare fra legitime kilder, i dette tilfellet sonicwall.com og mysonicwall.com.
I sin analyse fant SonicWall og MSTIC to modifiserte programfiler som ble distribuert via det falske nettstedet: NEService.exe, modifisert for å omgå digitale sertifikatkontroller, og NetExtender.exe, modifisert for å stjele brukerkonfigurasjonsdata og påloggingsinformasjon.
Når brukeren har fylt ut all informasjonen og klikket på tilkobling, sendes data som brukernavn, passord, domene og mer til en ekstern server kontrollert av hackerne.
Både SonicWall og Microsofts nettsikkerhetsverktøy kan nå oppdage skadelig programvare, men det er ikke sikkert at tredjepartsprogrammer allerede er oppdatert for å identifisere filene. Derfor er det lurt å bruke et av de beste antivirusprogrammene for å beskytte deg mot modifisert programvare og skadelige filer.
