SonicWall: Ψεύτικο NetExtender κλέβει VPN credentials
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
SonicWall: Ψεύτικο NetExtender κλέβει VPN credentials
https://www.secnews.gr/651987/sonicwall-pseutiko-netextender-klebei-vpn-credentials/
Jun 25th 2025, 11:02
by Digital Fortress
Η SonicWall εξέδωσε επείγουσα προειδοποίηση προς τους πελάτες της, αποκαλύπτοντας ότι κυκλοφορεί μια ψεύτικη έκδοση του NetExtender SSL VPN client, η οποία διανέμεται από κυβερνοεγκληματίες με στόχο την υποκλοπή VPN credentials.
Σύμφωνα με την ανάλυση των ερευνητών της SonicWall και της Microsoft Threat Intelligence (MSTIC), το κακόβουλο λογισμικό μιμείται την τελευταία επίσημη έκδοση NetExtender v10.3.2.27. Το trojanized installer διακινείται μέσω πλαστογραφημένου ιστότοπου, που έχει σχεδιαστεί ώστε να θυμίζει απόλυτα την αυθεντική ιστοσελίδα της SonicWall – ξεγελώντας τους χρήστες ότι κατεβάζουν το γνήσιο λογισμικό.
Αν και το αρχείο δεν φέρει την ψηφιακή υπογραφή της SonicWall, έχει υπογραφεί από την "CITYLIGHT MEDIA PRIVATE LIMITED", γεγονός που του επιτρέπει να παρακάμπτει βασικές άμυνες σε πολλούς υπολογιστές.
Δείτε επίσης: Ευπάθεια SonicWall SMA1000 επιτρέπει απομακρυσμένη πρόσβαση
Ο βασικός στόχος του κακόβουλου client είναι να υποκλέψει τις ρυθμίσεις VPN, τα διαπιστευτήρια πρόσβασης και άλλα δεδομένα σύνδεσης, τα οποία στη συνέχεια αποστέλλονται στους επιτιθέμενους.
Το NetExtender αποτελεί επίσημο VPN client της SonicWall, που επιτρέπει σε υπαλλήλους, διαχειριστές IT και εργολάβους να συνδέονται με ασφάλεια στο εταιρικό δίκτυο εξ αποστάσεως. Χρησιμοποιείται ευρέως από μικρές και μεσαίες επιχειρήσεις και θεωρείται κρίσιμο εργαλείο για την απομακρυσμένη εργασία.
Η κοινή έρευνα της SonicWall και της Microsoft αποκάλυψε δύο τροποποιημένα εκτελέσιμα αρχεία:
• Ένα NeService.exe, του οποίου ο μηχανισμός επικύρωσης έχει παρακαμφθεί για να αγνοεί τους ελέγχους πιστοποιητικών,
• Και ένα NetExtender.exe, το οποίο έχει ενσωματωμένο κώδικα για την κλοπή δεδομένων (VPN credentials).
Η SonicWall αποκαλύπτει ότι εντόπισε πρόσθετο κακόβουλο κώδικα, ο οποίος αποστέλλει τις ρυθμίσεις σύνδεσης VPN σε απομακρυσμένο διακομιστή με IP 132.196.198.163, μέσω της θύρας 8080.
Όπως εξηγεί η εταιρεία: «Μόλις εισαχθούν οι λεπτομέρειες διαμόρφωσης VPN και γίνει κλικ στο κουμπί «Σύνδεση», ο κακόβουλος κώδικας εκτελεί τη δική του επικύρωση πριν στείλει τα δεδομένα στον απομακρυσμένο διακομιστή. Οι κλεμμένες πληροφορίες διαμόρφωσης περιλαμβάνουν το όνομα χρήστη, τον κωδικό πρόσβασης, το domain και άλλα».
Δείτε επίσης: VPN, 2FA & password manager: Τα 3 βασικά εργαλεία για ασφάλεια στο διαδίκτυο
Για την αποφυγή περιστατικών παραβίασης, η SonicWall συνιστά αυστηρά τη λήψη λογισμικού αποκλειστικά από τους επίσημους ιστότοπους της: sonicwall.com και mysonicwall.com.
Πλέον, τα εργαλεία ασφαλείας της SonicWall, αλλά και το Microsoft Defender, εντοπίζουν και μπλοκάρουν τις τροποποιημένες εκδόσεις του NetExtender. Ωστόσο, άλλα antivirus ενδέχεται να μην αναγνωρίζουν ακόμα τους κακόβουλους installers, αφήνοντας ένα παράθυρο κινδύνου για τους λιγότερο προστατευμένους χρήστες.
Οι επιθέσεις αυτού του τύπου αξιοποιούν μια ποικιλία από τεχνικές διανομής του κακόβουλου προγράμματος:
• Κακόβουλες διαφημίσεις (malvertising)
• SEO poisoning που ανεβάζει ψεύτικες σελίδες σε υψηλές θέσεις αναζήτησης
• Άμεσα μηνύματα
• Αναρτήσεις σε φόρουμ
• Πλατφόρμες βίντεο όπως YouTube και TikTok
Η SonicWall υπενθυμίζει στους χρήστες να αποφεύγουν τα προωθούμενα αποτελέσματα αναζήτησης και να ελέγχουν τα αρχεία εγκατάστασης με ενημερωμένο antivirus προτού εκτελεστούν, ακόμα κι αν φαίνονται "επίσημα".
Δείτε επίσης: Η SonicWall διόρθωσε τρεις σοβαρές ευπάθειες σε συσκευές SMA
Γενικά, οι χρήστες θα πρέπει να επαληθεύουν πάντα την αυθεντικότητα των εκτελέσιμων αρχείων VPN clients, να αποφεύγουν downloads από ανεπίσημες πηγές και να ελέγχουν τις ψηφιακές υπογραφές κάθε εγκατάστασης. Η υπόθεση αναδεικνύει για ακόμα μία φορά την αυξανόμενη εστίαση των απειλητικών παραγόντων στην αλυσίδα εφοδιασμού λογισμικού, ειδικά σε εργαλεία που σχετίζονται με την ασφάλεια των απομακρυσμένων συνδέσεων.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
SonicWall: Ψεύτικο NetExtender κλέβει VPN credentials
https://www.secnews.gr/651987/sonicwall-pseutiko-netextender-klebei-vpn-credentials/
Jun 25th 2025, 11:02
by Digital Fortress
Η SonicWall εξέδωσε επείγουσα προειδοποίηση προς τους πελάτες της, αποκαλύπτοντας ότι κυκλοφορεί μια ψεύτικη έκδοση του NetExtender SSL VPN client, η οποία διανέμεται από κυβερνοεγκληματίες με στόχο την υποκλοπή VPN credentials.
Σύμφωνα με την ανάλυση των ερευνητών της SonicWall και της Microsoft Threat Intelligence (MSTIC), το κακόβουλο λογισμικό μιμείται την τελευταία επίσημη έκδοση NetExtender v10.3.2.27. Το trojanized installer διακινείται μέσω πλαστογραφημένου ιστότοπου, που έχει σχεδιαστεί ώστε να θυμίζει απόλυτα την αυθεντική ιστοσελίδα της SonicWall – ξεγελώντας τους χρήστες ότι κατεβάζουν το γνήσιο λογισμικό.
Αν και το αρχείο δεν φέρει την ψηφιακή υπογραφή της SonicWall, έχει υπογραφεί από την "CITYLIGHT MEDIA PRIVATE LIMITED", γεγονός που του επιτρέπει να παρακάμπτει βασικές άμυνες σε πολλούς υπολογιστές.
Δείτε επίσης: Ευπάθεια SonicWall SMA1000 επιτρέπει απομακρυσμένη πρόσβαση
Ο βασικός στόχος του κακόβουλου client είναι να υποκλέψει τις ρυθμίσεις VPN, τα διαπιστευτήρια πρόσβασης και άλλα δεδομένα σύνδεσης, τα οποία στη συνέχεια αποστέλλονται στους επιτιθέμενους.
Το NetExtender αποτελεί επίσημο VPN client της SonicWall, που επιτρέπει σε υπαλλήλους, διαχειριστές IT και εργολάβους να συνδέονται με ασφάλεια στο εταιρικό δίκτυο εξ αποστάσεως. Χρησιμοποιείται ευρέως από μικρές και μεσαίες επιχειρήσεις και θεωρείται κρίσιμο εργαλείο για την απομακρυσμένη εργασία.
Η κοινή έρευνα της SonicWall και της Microsoft αποκάλυψε δύο τροποποιημένα εκτελέσιμα αρχεία:
• Ένα NeService.exe, του οποίου ο μηχανισμός επικύρωσης έχει παρακαμφθεί για να αγνοεί τους ελέγχους πιστοποιητικών,
• Και ένα NetExtender.exe, το οποίο έχει ενσωματωμένο κώδικα για την κλοπή δεδομένων (VPN credentials).
Η SonicWall αποκαλύπτει ότι εντόπισε πρόσθετο κακόβουλο κώδικα, ο οποίος αποστέλλει τις ρυθμίσεις σύνδεσης VPN σε απομακρυσμένο διακομιστή με IP 132.196.198.163, μέσω της θύρας 8080.
Όπως εξηγεί η εταιρεία: «Μόλις εισαχθούν οι λεπτομέρειες διαμόρφωσης VPN και γίνει κλικ στο κουμπί «Σύνδεση», ο κακόβουλος κώδικας εκτελεί τη δική του επικύρωση πριν στείλει τα δεδομένα στον απομακρυσμένο διακομιστή. Οι κλεμμένες πληροφορίες διαμόρφωσης περιλαμβάνουν το όνομα χρήστη, τον κωδικό πρόσβασης, το domain και άλλα».
Δείτε επίσης: VPN, 2FA & password manager: Τα 3 βασικά εργαλεία για ασφάλεια στο διαδίκτυο
Για την αποφυγή περιστατικών παραβίασης, η SonicWall συνιστά αυστηρά τη λήψη λογισμικού αποκλειστικά από τους επίσημους ιστότοπους της: sonicwall.com και mysonicwall.com.
Πλέον, τα εργαλεία ασφαλείας της SonicWall, αλλά και το Microsoft Defender, εντοπίζουν και μπλοκάρουν τις τροποποιημένες εκδόσεις του NetExtender. Ωστόσο, άλλα antivirus ενδέχεται να μην αναγνωρίζουν ακόμα τους κακόβουλους installers, αφήνοντας ένα παράθυρο κινδύνου για τους λιγότερο προστατευμένους χρήστες.
Οι επιθέσεις αυτού του τύπου αξιοποιούν μια ποικιλία από τεχνικές διανομής του κακόβουλου προγράμματος:
• Κακόβουλες διαφημίσεις (malvertising)
• SEO poisoning που ανεβάζει ψεύτικες σελίδες σε υψηλές θέσεις αναζήτησης
• Άμεσα μηνύματα
• Αναρτήσεις σε φόρουμ
• Πλατφόρμες βίντεο όπως YouTube και TikTok
Η SonicWall υπενθυμίζει στους χρήστες να αποφεύγουν τα προωθούμενα αποτελέσματα αναζήτησης και να ελέγχουν τα αρχεία εγκατάστασης με ενημερωμένο antivirus προτού εκτελεστούν, ακόμα κι αν φαίνονται "επίσημα".
Δείτε επίσης: Η SonicWall διόρθωσε τρεις σοβαρές ευπάθειες σε συσκευές SMA
Γενικά, οι χρήστες θα πρέπει να επαληθεύουν πάντα την αυθεντικότητα των εκτελέσιμων αρχείων VPN clients, να αποφεύγουν downloads από ανεπίσημες πηγές και να ελέγχουν τις ψηφιακές υπογραφές κάθε εγκατάστασης. Η υπόθεση αναδεικνύει για ακόμα μία φορά την αυξανόμενη εστίαση των απειλητικών παραγόντων στην αλυσίδα εφοδιασμού λογισμικού, ειδικά σε εργαλεία που σχετίζονται με την ασφάλεια των απομακρυσμένων συνδέσεων.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz