トロイの木馬化されたSonicWall NetExtenderがVPNユーザーを標的にして資格情報を盗む

ホームニュース* 攻撃者は、ログイン資格情報を盗むために、SonicWall の NetExtender VPN アプリのトロイの木馬化されたバージョンを広めました。

• 偽のソフトウェアであるSilentRouteは、偽装されたウェブサイトから配布され、正規のものであるようにデジタル署名されています。
• インストーラー内の悪意のあるコードは、キャプチャされたVPN設定の詳細（ユーザー名やパスワードを含む）をリモートサーバーに送信します。
• 別のキャンペーンであるEvilConwiは、ConnectWiseの署名を悪用して、フィッシングや偽サイトを通じてリモートアクセス型マルウェアを配信します。
• 両方の脅威は、信頼された署名と誤解を招くビジュアルを使用して、ユーザーを欺き、一般的なセキュリティチェックを回避します。 不明な攻撃者がユーザーの資格情報を取得するために、SonicWall NetExtender SSL VPNアプリケーションのトロイの木馬感染バージョンを配布しました。2025年6月に発見された改ざんされたインストーラーは、公式バージョンとして偽装されており、閉鎖された偽のウェブサイトを通じて配布されました。

• 広告 - SonicWallの研究者Sravan Ganachariによると、正当なNetExtenderアプリは、リモートユーザーが企業のネットワークリソースに安全にアクセスできるようにします。Microsoftと協力している同社は、ユーザーから機密のVPN構成情報を収集する悪意のあるバリアント—コードネームSilentRouteを特定しました。

脅威アクターは、偽のNetExtenderのインストールされたバイナリにコードを追加し、VPN設定に関連する情報が盗まれてリモートサーバーに送信されるようにしたとガナチャリ氏は述べた。操作されたインストーラーは、CITYLIGHT MEDIA PRIVATE LIMITEDによって署名されており、デジタル証明書のチェックをバイパスする。ユーザーがVPNの認証情報を入力し、「接続」をクリックすると、マルウェアはユーザー名、パスワード、ドメインなどの詳細をインターネット経由でリモートサーバーに送信する。

この悪質なソフトウェアの拡散は、検索エンジンでNetExtenderアプリを検索したユーザーを標的にした可能性が高く、検索エンジン最適化、マルバタイジング、またはソーシャルメディアリンクなどの手法を通じてフィッシングサイトに誘導されました。調査者は、改変されたインストーラーには、データ窃盗と証明書検証の回避のために両方とも改造された2つの重要なコンポーネント「NeService.exe」と「NetExtender.exe」が含まれていることを発見しました。

一方、ドイツの会社G DATAによって説明された別のキャンペーンは、EvilConwiと呼ばれる活動グループでConnectWiseソフトウェアの署名を悪用しています。攻撃者は、プログラムの信頼されたデジタル署名を破壊することなく悪意のあるコードを追加するAuthenticode stuffingという方法を使用しました。この方法により、正当なソフトウェアプロセスを使用して脅威が検出されないようにしました。

これらの攻撃は、偽のダウンロードにつながるフィッシングメールから始まります。悪意のあるソフトウェアは、馴染みのあるブランドのカバーの下でスパイウェアを埋め込み、時にはユーザーがコンピュータをシャットダウンできないように偽のWindows更新画面を表示します。セキュリティ研究者のカーステン・ハーンは、攻撃者が偽のAIツールのプロモーションや誤解を招く更新ビジュアルを使用してユーザーを騙し、システムをリモートアクセスに対して脆弱な状態に保っていることに注意を促しました。

両方のキャンペーンは、既知のセキュリティ回避策に依存しており、攻撃者が標準のセキュリティツールによる検出を最小限に抑えながらユーザーデータを収集することを可能にしました。

• 広告 - #### 前の記事:

• レパブリックがスペースX、アンソロピックを追跡するミラートークンを小売投資家に提供
• ビットコインが107,000ドルに急上昇、連邦準備制度の利下げ期待と地政学的懸念の緩和
• CoinDesk 20 インデックスが 0.5% 上昇、BCH と SOL が先導; APT と AAVE が遅れをとる
• イラン支持のハクティビストがサウジアラビアのゲーム選手および訪問者データをオンラインで漏洩
• ハナ銀行が韓国ステーブルコインコンソーシアムに参加し、商標を出願

-広告-