- SonicWall varnar för att hackare sprider skadlig VPN-programvara
- NetExtender har modifierats och sprids via falska webbplatser
- Den skadliga programvaran stjäl inloggningsuppgifter och VPN-konfigurationer
Hackare har upptäckts sprida en förfalskad version av SonicWalls NetExtender SSL VPN-klient via bluffwebbplatser som imiterar SonicWalls officiella hemsida.
SonicWall och Microsoft Threat Intelligence Center (MSTIC) har identifierat den trojaniserade applikationen och gått ut med en varning till användare om att inte ladda ner den falska mjukvaran.
Eftersom NetExtender används som VPN-klient för fjärråtkomst kan stulna VPN-konfigurationer och inloggningsuppgifter innebära allvarliga risker för både anställda och företag.
Falsk VPN-klient sprids via bluffwebbplats
Den falska VPN-klienten är signerad med "CITYLIGHT MEDIA PRIVATE LIMITED", vilket ger den en viss nivå av trovärdighet som kan lura dem som söker enklare cyberskydd.
Filen sprids genom SEO och skadlig annonsering (malvertising), vilket kan få den fejkade webbplatsen att hamna överst i sökresultaten – särskilt i sponsrade länkar.
SonicWall påminner därför användare om att alltid ladda ner mjukvara från legitima källor, i det här fallet sonicwall.com och mysonicwall.com.
I sin analys fann SonicWall och MSTIC två modifierade programfiler som spreds via den falska webbplatsen: NEService.exe, modifierad för att kringgå kontroller av digitala certifikat och NetExtender.exe, modifierad för att stjäla användarens konfigurationsdata och inloggningsuppgifter.
När användaren fyllt i all information och klickar på anslut skickas data som användarnamn, lösenord, domän med mera till en fjärrserver som kontrolleras av hackarna.
Både SonicWalls och Microsofts cybersäkerhetsverktyg kan nu upptäcka den skadliga programvaran, men det är inte säkert att tredjepartsprogram redan är uppdaterade för att identifiera filerna. Det är därför klokt att använda ett av de bästa antivirusprogrammen för att skydda sig mot modifierad mjukvara och skadliga filer.
Läs vidare
