Думали, VPN защищает вас? Нет! Хакеры создали его идеальную копию, крадущую ваши секреты
NewsMakerПродукт SonicWall клонировали настолько точно, что даже его цифровая подпись выглядит легитимно.
Неизвестные злоумышленники начали распространять поддельное приложение SonicWall, с помощью которого крадут учётные данные для доступа к VPN. Атака была обнаружена специалистами SonicWall и Microsoft, которые зафиксировали попытки распространения изменённой версии программы NetExtender, маскирующейся под официальное приложение SonicWall.
По информации компаний, мошенники подготовили модифицированный установщик NetExtender версии 10.3.2.27. Он визуально полностью копировал оригинальное приложение, что позволяло легко вводить пользователей в заблуждение. Однако ключевым отличием стала цифровая подпись — её подделали, указав фиктивную организацию «CITYLIGHT MEDIA PRIVATE LIMITED». Сайт для загрузки этого вредоносного ПО также был фальшивым и внешне напоминал официальный ресурс SonicWall.
Попав на такой поддельный сайт, пользователи загружали не настоящее приложение для безопасного соединения, а вредоносный аналог. После установки программа незаметно похищала данные конфигурации VPN — логины, пароли, домены и другую информацию — и отправляла их на удалённый сервер, управляемый злоумышленниками.
Внутри модифицированного установщика были изменены два ключевых файла: NeService.exe и NetExtender.exe. Первый из них в оригинальном виде проверяет цифровую подпись и запускает приложение только после успешной проверки. Однако хакеры отключили этот механизм, чтобы программа запускалась даже при отсутствии действительной подписи. Второй файл, NetExtender.exe, был дополнен вредоносным кодом для передачи украденных данных на внешний сервер по IP-адресу 132.196.198.163 через порт 8080.
Хотя вредоносные сайты были оперативно отключены, а поддельный сертификат отозван, ситуация остаётся опасной. Как подчёркивают специалисты, злоумышленникам не составляет труда создавать новые фальшивые домены и распространять подделки заново. Подобные атаки особенно опасны для корпоративных пользователей SonicWall, поскольку похищенные учётные данные позволяют злоумышленникам получить доступ к защищённым сетям напрямую — без необходимости взлома устройств или эксплуатации уязвимостей.
Сами устройства и сервисы SonicWall уже много лет находятся под прицелом как киберпреступников, так и шпионских группировок. Случаи атак с использованием шпионского ПО, взломов и кражи конфиденциальной информации с помощью SonicWall-устройств фиксировались неоднократно . Новая схема с поддельным NetExtender позволяет обойти большинство защитных механизмов, ведь злоумышленники получают доступ официально — через легитимные, но украденные учётные записи.
Представители SonicWall пока не раскрывают подробности о масштабах атаки и количестве пострадавших. Тем не менее, инцидент служит напоминанием о том, насколько важно загружать приложения только с официальных сайтов производителей. Даже привычные инструменты для защиты и шифрования могут обернуться угрозой, если скачивать их из ненадёжных источников.
Неизвестные злоумышленники начали распространять поддельное приложение SonicWall, с помощью которого крадут учётные данные для доступа к VPN. Атака была обнаружена специалистами SonicWall и Microsoft, которые зафиксировали попытки распространения изменённой версии программы NetExtender, маскирующейся под официальное приложение SonicWall.
По информации компаний, мошенники подготовили модифицированный установщик NetExtender версии 10.3.2.27. Он визуально полностью копировал оригинальное приложение, что позволяло легко вводить пользователей в заблуждение. Однако ключевым отличием стала цифровая подпись — её подделали, указав фиктивную организацию «CITYLIGHT MEDIA PRIVATE LIMITED». Сайт для загрузки этого вредоносного ПО также был фальшивым и внешне напоминал официальный ресурс SonicWall.
Попав на такой поддельный сайт, пользователи загружали не настоящее приложение для безопасного соединения, а вредоносный аналог. После установки программа незаметно похищала данные конфигурации VPN — логины, пароли, домены и другую информацию — и отправляла их на удалённый сервер, управляемый злоумышленниками.
Внутри модифицированного установщика были изменены два ключевых файла: NeService.exe и NetExtender.exe. Первый из них в оригинальном виде проверяет цифровую подпись и запускает приложение только после успешной проверки. Однако хакеры отключили этот механизм, чтобы программа запускалась даже при отсутствии действительной подписи. Второй файл, NetExtender.exe, был дополнен вредоносным кодом для передачи украденных данных на внешний сервер по IP-адресу 132.196.198.163 через порт 8080.
Хотя вредоносные сайты были оперативно отключены, а поддельный сертификат отозван, ситуация остаётся опасной. Как подчёркивают специалисты, злоумышленникам не составляет труда создавать новые фальшивые домены и распространять подделки заново. Подобные атаки особенно опасны для корпоративных пользователей SonicWall, поскольку похищенные учётные данные позволяют злоумышленникам получить доступ к защищённым сетям напрямую — без необходимости взлома устройств или эксплуатации уязвимостей.
Сами устройства и сервисы SonicWall уже много лет находятся под прицелом как киберпреступников, так и шпионских группировок. Случаи атак с использованием шпионского ПО, взломов и кражи конфиденциальной информации с помощью SonicWall-устройств фиксировались неоднократно . Новая схема с поддельным NetExtender позволяет обойти большинство защитных механизмов, ведь злоумышленники получают доступ официально — через легитимные, но украденные учётные записи.
Представители SonicWall пока не раскрывают подробности о масштабах атаки и количестве пострадавших. Тем не менее, инцидент служит напоминанием о том, насколько важно загружать приложения только с официальных сайтов производителей. Даже привычные инструменты для защиты и шифрования могут обернуться угрозой, если скачивать их из ненадёжных источников.