- Специальный корреспондент
Злоумышленники разработали настолько точный клон продукта SonicWall, что даже его электронная подпись выглядит подлинной.
Обнаружено распространение фальшивого приложения SonicWall, используемого для кражи данных VPN. Специалисты SonicWall и Microsoft выявили попытки распространения изменённой версии NetExtender, замаскированной под официальное приложение SonicWall.
Мошенники подготовили модифицированный установщик NetExtender версии 10.3.2.27, визуально идентичный оригиналу, что облегчало обман пользователей. Поддельная цифровая подпись указывала на фиктивную организацию «CITYLIGHT MEDIA PRIVATE LIMITED». Веб-сайт для загрузки вредоносного ПО также был поддельным и имитировал официальный ресурс SonicWall.
Вместо безопасного приложения пользователи загружали вредоносный аналог, который похищал данные конфигурации VPN (логины, пароли, домены и т.д.) и отправлял их на удалённый сервер злоумышленников.
В модифицированном установщике были изменены файлы NeService.exe и NetExtender.exe. В оригинале NeService.exe проверяет подпись и запускает приложение только при её наличии, но хакеры отключили эту проверку. NetExtender.exe был дополнен кодом для передачи украденных данных на сервер по адресу 132.196.198.163 через порт 8080.
Несмотря на оперативное отключение вредоносных сайтов и отзыв сертификата, опасность сохраняется. Злоумышленники легко создают новые домены и распространяют подделки. Атаки особенно опасны для корпоративных пользователей SonicWall, так как похищенные данные позволяют получить доступ к защищённым сетям без взлома устройств.
Устройства и сервисы SonicWall давно являются целью киберпреступников. Случаи атак с использованием вредоносного ПО, взломов и кражи данных фиксировались неоднократно. Поддельный NetExtender обходит защиту, позволяя злоумышленникам получить доступ через украденные учётные записи.
SonicWall пока не раскрывает масштабы атаки и количество пострадавших. Инцидент напоминает о важности загрузки приложений только с официальных сайтов, так как даже защитные инструменты могут стать угрозой при загрузке из ненадежных источников.
Обнаружено распространение фальшивого приложения SonicWall, используемого для кражи данных VPN. Специалисты SonicWall и Microsoft выявили попытки распространения изменённой версии NetExtender, замаскированной под официальное приложение SonicWall.
Мошенники подготовили модифицированный установщик NetExtender версии 10.3.2.27, визуально идентичный оригиналу, что облегчало обман пользователей. Поддельная цифровая подпись указывала на фиктивную организацию «CITYLIGHT MEDIA PRIVATE LIMITED». Веб-сайт для загрузки вредоносного ПО также был поддельным и имитировал официальный ресурс SonicWall.
Вместо безопасного приложения пользователи загружали вредоносный аналог, который похищал данные конфигурации VPN (логины, пароли, домены и т.д.) и отправлял их на удалённый сервер злоумышленников.
В модифицированном установщике были изменены файлы NeService.exe и NetExtender.exe. В оригинале NeService.exe проверяет подпись и запускает приложение только при её наличии, но хакеры отключили эту проверку. NetExtender.exe был дополнен кодом для передачи украденных данных на сервер по адресу 132.196.198.163 через порт 8080.
Несмотря на оперативное отключение вредоносных сайтов и отзыв сертификата, опасность сохраняется. Злоумышленники легко создают новые домены и распространяют подделки. Атаки особенно опасны для корпоративных пользователей SonicWall, так как похищенные данные позволяют получить доступ к защищённым сетям без взлома устройств.
Устройства и сервисы SonicWall давно являются целью киберпреступников. Случаи атак с использованием вредоносного ПО, взломов и кражи данных фиксировались неоднократно. Поддельный NetExtender обходит защиту, позволяя злоумышленникам получить доступ через украденные учётные записи.
SonicWall пока не раскрывает масштабы атаки и количество пострадавших. Инцидент напоминает о важности загрузки приложений только с официальных сайтов, так как даже защитные инструменты могут стать угрозой при загрузке из ненадежных источников.
