SonicWall、トロイの木馬化されたNetExtenderがVPNログインを盗むと警告

SonicWallは、脅威アクターがVPN認証情報を盗むために使用されるトロイの木馬化されたNetExtender SSL VPNクライアントのバージョンを配布していると顧客に警告しています。

この偽のソフトウェアは、SonicWallとMicrosoft Threat Intelligence (MSTIC)の研究者によって発見され、最新の利用可能なバージョンである正規のNetExtender v10.3.2.27を模倣しています。

悪意のあるインストーラーファイルは、本物に見えるように作られた偽のウェブサイトにホストされており、訪問者をSonicWallからソフトウェアをダウンロードしていると錯覚させます。

インストーラーファイルはSonicWallによってデジタル署名されていませんが、「CITYLIGHT MEDIA PRIVATE LIMITED」によって署名されており、基本的な防御を回避することができます。

トロイの木馬化されたアプリケーションの目的は、VPNの構成とアカウントの認証情報を盗み、攻撃者に送信することです。

SonicWall NetExtenderは、ユーザーがリモートの場所から組織の内部ネットワークに安全に接続することを可能にするリモートアクセスVPNクライアントです。

これは特にSonicWall SSL VPNアプライアンスとファイアウォールと連携するように設計されており、通常は中小企業のリモートスタッフ、IT管理者、および幅広い業種の契約者によって使用されます。

SonicWallとMicrosoftは、悪意のある偽装サイトによって配布された製品の2つの修正されたバイナリを発見しました。

検証ロジックがパッチされてデジタル証明書のチェックをバイパスする修正されたNeService.exeと、データを盗むように修正されたNetExtender.exeファイルです。

「追加のコードが、ポート8080を介してIPアドレス132.196.198.163のリモートサーバーにVPN構成情報を送信するために追加されました」とSonicWallのアドバイザリは説明しています。

「VPN構成の詳細が入力され、「接続」ボタンがクリックされると、悪意のあるコードは独自の検証を行い、そのデータをリモートサーバーに送信します。盗まれた構成情報には、ユーザー名、パスワード、ドメインなどが含まれます。」

SonicWallは、ユーザーがソフトウェアをダウンロードする際には、公式ポータルであるsonicwall.comおよびmysonicwall.comからのみ行うことを推奨しています。

同社のセキュリティツールとMicrosoft Defenderは現在、悪意のあるインストーラーを検出してブロックしていますが、他のセキュリティツールはそうではないかもしれません。

通常、人々はマルバタイジング、SEOポイズニング、ダイレクトメッセージ、フォーラム投稿、YouTubeやTikTokの動画を通じて、トロイの木馬化されたインストーラーを配信する偽装サイトにリダイレクトされます。

ソフトウェアをダウンロードする際には、ベンダーの公式ウェブサイトを使用し、すべてのプロモートされた結果をスキップしてください。また、ダウンロードしたファイルを実行する前に、最新のウイルス対策ソフトで常にスキャンしてください。