Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware SilentRoute-Trojaner

SilentRoute-Trojaner

Von Mezo in Malware, Trojaner
Übersetzen Sie in:

Cyberkriminelle haben erneut einen Weg gefunden, vertrauenswürdige Software als Waffe zu nutzen. Diesmal wurde eine trojanisierte Version des SSL VPN NetExtender entwickelt. Diese von Cybersicherheitsforschern aufgedeckte Angriffskampagne stellt eine ernsthafte Bedrohung für Benutzer dar, die Remote-Netzwerkzugriff suchen.

Der verkleidete Trojaner

Im Mittelpunkt dieser Kampagne steht eine modifizierte Version des SSL VPN NetExtender-Clients, eines legitimen Tools, das Remote-Benutzern die sichere Verbindung zu Unternehmensnetzwerken ermöglicht. Es ermöglicht Benutzern, interne Anwendungen auszuführen, auf freigegebene Laufwerke zuzugreifen und Dateien zu übertragen, als wären sie physisch im Unternehmensnetzwerk anwesend.

Leider hat eine unbekannte Cyberkriminelle eine gefälschte Version dieser Software in Umlauf gebracht und sie mit der Schadsoftware SilentRoute infiziert. Nach der Installation stiehlt diese betrügerische Version unbemerkt vertrauliche Daten des Benutzers.

So funktioniert der Angriff

Die Angreifer nutzen eine gefälschte Website, um das schädliche NetExtender-Installationsprogramm zu hosten, getarnt als legitime Version 10.3.2.27. Obwohl die Website abgeschaltet wurde, war das Installationsprogramm Berichten zufolge von CITYLIGHT MEDIA PRIVATE LIMITED digital signiert, was ihm einen falschen Anschein von Legitimität verleiht.

Opfer werden wahrscheinlich durch Folgendes zum Herunterladen der Malware verleitet:

  • Gefälschte Websites, die durch SEO-Poisoning in den Suchergebnissen erscheinen
  • Spear-Phishing-E-Mails mit schädlichen Links
  • Malvertising-Kampagnen und irreführende Social-Media-Beiträge

Nach dem Download installiert das schädliche Installationsprogramm modifizierte Versionen zweier kritischer Komponenten, NeService.exe und NetExtender.exe, die so verändert wurden, dass sie die digitale Zertifikatsprüfung ignorieren. Diese Komponenten leiten Konfigurationsdaten unbemerkt an einen vom Angreifer kontrollierten Server unter 132.196.198.163:8080 weiter.

Was wird gestohlen und wie

Nachdem der Benutzer seine VPN-Anmeldedaten eingegeben und auf die Schaltfläche „Verbinden“ geklickt hat, führt der Trojaner eigene Prüfungen durch, bevor er die gestohlenen Daten an den Server des Angreifers überträgt. Zu den exfiltrierten Informationen gehören:

  • Benutzername
  • Passwort
  • Domain
  • VPN-Serverdetails und Konfigurationsdaten

Diese gestohlenen Informationen könnten den Angreifern unbefugten Zugriff auf Unternehmensumgebungen verschaffen, was dies zu einem erheblichen Problem für die Cybersicherheit macht.

Wichtige Erkenntnisse für Ihren Schutz

Um zu vermeiden, solchen Bedrohungen zum Opfer zu fallen, sollten Organisationen und Benutzer:

  • Laden Sie VPN- und Remote-Access-Tools nur von offiziellen Websites oder verifizierten Anbietern herunter.
  • Seien Sie vorsichtig, wenn Sie auf Links in E-Mails, Anzeigen oder Suchergebnissen klicken, insbesondere wenn diese Software-Downloads anbieten.

Darüber hinaus sollten Netzwerkadministratoren auf ungewöhnliche ausgehende Verbindungen achten und sicherstellen, dass die Endpunktschutzsysteme auf dem neuesten Stand und so konfiguriert sind, dass sie manipulierte ausführbare Dateien erkennen.

Abschließende Gedanken

Die SilentRoute-Kampagne verdeutlicht die zunehmende Raffinesse der Malware-Verbreitung durch Identitätsbetrug und Social Engineering. Wachsamkeit und strenge digitale Hygiene sind nach wie vor die beste Verteidigung gegen solche betrügerischen Bedrohungen.

Im Trend

Am häufigsten gesehen

Wird geladen...