Los actores de amenaza desconocidos han estado distribuyendo una versión troyanizada de la aplicación SSL VPN Netextender de Sonicwall para robar credenciales de usuarios desprevenidos que pueden haberlo instalado.
“NetExtender permite que los usuarios remotos conecten y ejecutaran aplicaciones de forma segura en la red de la compañía”, dijo el investigador de Sonicwall Sravan Ganachari. “Los usuarios pueden cargar y descargar archivos, acceder a unidades de red y usar otros recursos como si estuvieran en la red local”.
La carga útil maliciosa entregada a través del software Rogue VPN ha sido nombrado en código Silentroute por Microsoft, que detectó la campaña junto con la compañía de seguridad de la red.
Sonicwall dijo que el netextender con malware se hace pasar por la última versión del software (10.3.2.27) y se ha encontrado que se distribuye a través de un sitio web falso que desde entonces se ha eliminado. El instalador está firmado digitalmente por Citylight Media Private Limited “.
Esto sugiere que la campaña está dirigida a los usuarios que buscan netextender en motores de búsqueda como Google o Bing, y los engañan para que la instale a través de sitios falsificados propagados a través de técnicas conocidas como Phishing-Phishing, envenenamiento de la optimización de motores de búsqueda (SEO), malvado o publicaciones en las redes sociales.
Se han modificado dos componentes diferentes del instalador para facilitar la exfiltración de la información de configuración a un servidor remoto bajo el control del atacante.
Estos incluyen “neservice.exe” y “netextender.exe”, que se han alterado para evitar la validación de certificados digitales varios componentes de Netextender y continuar la ejecución independientemente de los resultados de validación y exfiltrar la información al 132.196.198 (.) 163 sobre el puerto 8080.
“El actor de amenaza agregó el código en los binarios instalados del NetExtender falso para que la información relacionada con la configuración de VPN sea robada y enviada a un servidor remoto”, dijo Ganachari.
“Una vez que se ingresan los detalles de configuración de VPN y se hace clic en el botón” Connect “, el código malicioso realiza su propia validación antes de enviar los datos al servidor remoto. La información de configuración robada incluye el nombre de usuario, la contraseña, el dominio y más”.
Amenazas de los actores abusar de las firmas de autentico de conexión
El desarrollo se produce cuando G Data detalló un clúster de actividad de amenazas denominado EvilConwi que involucra a los malos actores que abusan de Connectwise para incrustar el código malicioso utilizando una técnica llamada relleno Authenticode sin invalidar la firma digital.
La compañía alemana de ciberseguridad dijo que ha observado un aumento en los ataques que utilizan esta técnica desde marzo de 2025. Las cadenas de infección aprovechan principalmente los correos electrónicos de phishing como un vector de acceso inicial o a través de sitios falsos anunciados como herramientas de inteligencia artificial (IA) en Facebook.
Estos mensajes de correo electrónico contienen un enlace OneDrive que redirige a los destinatarios a una página de Canva con un botón “Ver PDF”, que da como resultado la descarga y ejecución subrepticios de un instalador de Connectwise.
Los ataques funcionan implantando configuraciones maliciosas en atributos no autenticados dentro de la firma Authenticode para servir a una pantalla de actualización de Windows falsa y evitar que los usuarios cierren sus sistemas, así como incluir información sobre la URL externa a la que se debe establecer la conexión remota para un acceso persistente.
Lo que hace que EvilConwi sea notable es que ofrece a los actores maliciosos una cobertura para las operaciones nefastas mediante la realización de un sistema o un proceso de software de confianza, legítimo y tal vez elevado, lo que les permite volar bajo el radar.
“Al modificar estas configuraciones, los actores de amenaza crean su propio malware de acceso remoto que pretende ser un software diferente como un convertidor de IA a imagen de Google Chrome”, dijo la investigadora de seguridad Karsten Hahn. “Comúnmente, también agregan imágenes y mensajes falsos de actualización de Windows, para que el usuario no apague el sistema, mientras que los actores de amenaza se conectan de forma remota a ellas”.
