Onbekende dreigingsactoren hebben een Trojanised -versie gedistribueerd van Sonicwall’s SSL VPN Netextender -applicatie om referenties te stelen van nietsvermoedende gebruikers die deze mogelijk hebben geïnstalleerd.
“Netextender stelt externe gebruikers in staat om applicaties veilig te verbinden en uit te voeren op het bedrijfsnetwerk,” zei Sonicwall -onderzoeker Sravan Ganachari. “Gebruikers kunnen bestanden uploaden en downloaden, toegang hebben tot netwerkaandrijving en andere bronnen gebruiken alsof ze zich op het lokale netwerk bevinden.”
De kwaadaardige lading die via de Rogue VPN -software werd geleverd, is Codenaam Silentroute door Microsoft, die de campagne samen met het netwerkbeveiligingsbedrijf detecteerde.
Sonicwall zei dat de malware-geregen Netextender zich de nieuwste versie van de software (10.3.2.27) voordoet en is gebleken te worden gedistribueerd via een nepwebsite die sindsdien is verwijderd. Het installatieprogramma is digitaal ondertekend door Citylight Media Private Limited. “
Dit suggereert dat de campagne zich richt op gebruikers die op zoek zijn naar Netextender op zoekmachines zoals Google of Bing, en ze te misleiden om het te installeren via vervalste sites die worden gepropageerd via bekende technieken zoals speer-phishing, zoekmachineoptimalisatie (SEO) vergiftiging, malvertising of sociale media-berichten.
Twee verschillende componenten van het installatieprogramma zijn aangepast om de exfiltratie van de configuratie -informatie te vergemakkelijken naar een externe server onder controle van de aanvaller.
Deze omvatten “neservice.exe” en “netextender.exe”, die zijn gewijzigd om de validatie van digitale certificaten verschillende Netextender -componenten te omzeilen en de uitvoering voort te zetten, ongeacht de validatieresultaten en de informatie te exfiltreren naar 132.196.198 (.) 163 over poort 8080.
“De dreigingsacteur heeft code toegevoegd in de geïnstalleerde binaire bestanden van de nep Netextender zodat informatie met betrekking tot VPN -configuratie wordt gestolen en naar een externe server wordt verzonden,” zei Ganachari.
“Zodra de VPN -configuratiegegevens zijn ingevoerd en de knop” Connect “is geklikt, voert de kwaadaardige code zijn eigen validatie uit voordat de gegevens naar de externe server worden verzonden. Gestolen configuratie -informatie omvat de gebruikersnaam, het wachtwoord, het domein en meer.”
Bedreigingsactoren misbruiken Connectwise authenticode handtekeningen
De ontwikkeling komt als G -gegevens gedetailleerd een dreigingsactiviteitcluster die EvilConwi wordt genoemd waarbij slechte actoren ConnectWise misbruiken tot insluitende kwaadaardige code met behulp van een techniek genaamd Authenticode -vulling zonder de digitale handtekening ongeldig te maken.
Het Duitse cybersecuritybedrijf zei dat het een piek heeft waargenomen in aanvallen met deze techniek sinds maart 2025. De infectieketens maken voornamelijk gebruik van phishing -e -mails als een initiële toegangsvector of via nep -sites geadverteerd als kunstmatige intelligentie (AI) tools op Facebook.
Deze e -mailberichten bevatten een OneDrive -link die ontvangers omleidt naar een canva -pagina met een knop “PDF bekijken”, wat resulteert in de heimelijke download en uitvoering van een ConnectWise -installatieprogramma.
De aanvallen werken door kwaadaardige configuraties te implanteren in niet -geauthenticeerde attributen binnen de authenticode -handtekening om een nep Windows Update -scherm te bedienen en te voorkomen dat gebruikers hun systemen afsluiten, evenals informatie op te nemen over de externe URL waartoe de externe verbinding moet worden vastgesteld voor aanhoudende toegang.
Wat Evilconwi opmerkelijk maakt, is dat het kwaadaardige acteurs een dekking biedt voor snode operaties door ze uit te voeren met behulp van een vertrouwd, legitiem en misschien verhoogd systeem- of softwareproces, waardoor ze onder de radar kunnen vliegen.
“Door deze instellingen te wijzigen, maken bedreigingsactoren hun eigen externe toegangsmalware die zich voordoet als een andere software zoals een AI-to-Image Converter door Google Chrome,” zei beveiligingsonderzoeker Karsten Hahn. “Ze voegen meestal ook nep -Windows -update -afbeeldingen en berichten toe, zodat de gebruiker het systeem niet uitschakelt, terwijl dreigingsacteurs op afstand verbinding maken met hen.”
