SonicWall випустила повідомлення, в якому інформує клієнтів про наявність шкідливої версії додатку SonicWall SSL VPN NetExtender, що використовується для злому конфігурацій VPN і даних користувачів. Компанія попереджає, що зловмисники модифікували два файли, що використовуються додатком NetExtender, який служить для безпечного з’єднання віддалених користувачів з основною мережею. Microsoft та SonicWall вжили заходів для блокування розповсюдження змінених версій додатку NetExtender.
Додаток SonicWall NetExtender був цифровим чином підписаний зловмисниками
У своєму безпековому повідомленні, опублікованому раніше на цьому тижні, SonicWall повідомила, що виявила модифіковану версію додатку NetExtender SSL VPN у співпраці з Microsoft Threat Intelligence (MSTIC). Шкідлива версія програми розміщувалася на сайті, що дозволяв користувачам завантажити тройковану версію останнього випуску, версії 10.3.2.27.
Файли додатку NetExtender, змінені зловмисником
Фото: SonicWall
За даними компанії, зловмисники цифровим чином підписали тройковану версію додатку NetExtender, що дозволило їй обійти перевірки безпеки Windows. Підпис був виконаний за допомогою цифрового сертифіката, виданого компанії “CITYLIGHT MEDIA Private LIMITED”.
Якщо користувач завантажив фейкову версію SonicWall NetExtender VPN, вона інсталювала два модифікованих додатки: “NeService.exe” та “NetExtender.exe”. Зміни у файлі NeService.exe дозволили зловмисникам обійти перевірки цифрового сертифіката під час завантаження програми.
В той же час, модифікований додаток NetExtender.exe збирав дані про конфігурацію VPN користувача, зокрема ім’я користувача, пароль, домен та іншу інформацію. Ці дані передавалися на віддалений сервер, щойно користувач натискав кнопку Підключитися.
SonicWall оновила свій інструмент для виявлення шкідливих програм, який автоматично блокуватиме шкідливе програмне забезпечення після його виявлення як GAV: Fake-NetExtender (Trojan). Програмне забезпечення Windows Defender від Microsoft також виявлятиме тройковану версію додатку, яка класифікується як “SilentRoute” Trojan (“TrojanSpy:Win32/SilentRoute.A”).
Цифровий сертифікат, що використовувався для підпису інсталятора, також був анульований, а компанії працюють над закриттям веб-сайтів, які намагалися обманом видати себе за додаток NetExtender VPN. Тим часом SonicWall закликала користувачів завантажувати додаток з їхнього офіційного сайту, а не з сторонніх джерел.