En una operación coordinada con Microsoft Threat Intelligence, SonicWall ha descubierto una campaña maliciosa que distribuye una versión modificada de su aplicación oficial NetExtender, utilizada para conexiones VPN seguras. El objetivo: robar credenciales de acceso y datos de configuración de los usuarios.
El ataque comienza con un sitio web que imita el portal legítimo de SonicWall, ofreciendo una versión aparentemente auténtica del instalador NetExtender (v10.3.2.27). Sin embargo, esta copia ha sido alterada para incluir código malicioso que intercepta y envía información sensible a un servidor remoto controlado por los atacantes.
Los archivos modificados incluyen:
NeService.exe: el servicio de Windows de NetExtender, alterado para bypassear la validación de certificados digitales.NetExtender.exe: modificado para extraer y enviar datos como usuario, contraseña, dominio y configuración VPN al servidor132.196.198.163:8080.
El instalador incluso está firmado digitalmente por una entidad falsa (“CITYLIGHT MEDIA PRIVATE LIMITED”), lo que puede engañar a usuarios y sistemas de seguridad.
SonicWall y Microsoft ya han eliminado los sitios falsos y revocado el certificado digital del instalador. Además, sus soluciones de seguridad detectan esta amenaza como Fake-NetExtender [Trojan] y TrojanSpy:Win32/SilentRoute.A.
Recomendaciones:
- Descargar software solo desde fuentes oficiales:
sonicwall.comomysonicwall.com. - Verificar firmas digitales antes de instalar software sensible.
- Usar soluciones de seguridad con detección proactiva de amenazas.
Este caso demuestra cómo los atacantes están reutilizando software legítimo como caballo de Troya, apuntando a usuarios corporativos que confían en herramientas conocidas para conectarse a redes internas.
Fuente: https://www.sonicwall.com/blog/threat-actors-modify-and-re-create-commercial-software-to-steal-users-information
