Ciberseguridad 360 | Hackers distribuyen versión troyanizada de SonicWall NetExtender

Hackers desconocidos han estado distribuyendo una versi�n troyanizada de la aplicaci�n SSL VPN NetExtender de SonicWall para robar credenciales de usuarios desprevenidos que pudieran haberla instalado.

"NetExtender permite a los usuarios remotos conectarse de forma segura y ejecutar aplicaciones en la red de la empresa", explica Sravan Ganachari, investigador de SonicWall. "Los usuarios pueden cargar y descargar archivos, acceder a unidades de red y utilizar otros recursos como si estuvieran en la red local".

Microsoft, que detect� la campa�a junto con la empresa de seguridad de redes, ha dado el nombre en clave de SilentRoute a la carga maliciosa distribuida a trav�s del software VPN fraudulento.

SonicWall dijo que el malware NetExtender se hace pasar por la �ltima versi�n del software (10.3.2.27) y se ha encontrado que se distribuye a trav�s de un sitio web falso que ya ha sido retirado. El instalador est� firmado digitalmente por "CITYLIGHT MEDIA PRIVATE LIMITED".

Esto sugiere que la campa�a se dirige a los usuarios que buscan NetExtender en motores de b�squeda como Google o Bing, y los enga�a para que lo instalen a trav�s de sitios falsos propagados mediante t�cnicas conocidas como spear-phishing, envenenamiento de optimizaci�n de motores de b�squeda (SEO), publicidad maliciosa o publicaciones en redes sociales.

Dos componentes diferentes del instalador han sido modificados para facilitar la exfiltraci�n de la informaci�n de configuraci�n a un servidor remoto bajo el control del atacante.

Entre ellos se encuentran "NeService.exe" y "NetExtender.exe", que han sido alterados para saltarse la validaci�n de certificados digitales de varios componentes de NetExtender y continuar la ejecuci�n independientemente de los resultados de la validaci�n y exfiltrar la informaci�n al 132.196.198[.]163 a trav�s del puerto 8080.

"El actor de la amenaza a�adi� c�digo en los binarios instalados del falso NetExtender para que la informaci�n relacionada con la configuraci�n de la VPN sea robada y enviada a un servidor remoto", dijo Ganachari.

"Una vez que se introducen los detalles de configuraci�n de la VPN y se hace clic en el bot�n "Conectar", el c�digo malicioso realiza su propia validaci�n antes de enviar los datos al servidor remoto. La informaci�n de configuraci�n robada incluye el nombre de usuario, la contrase�a, el dominio, etc."

Hackers abusan de las firmas ConnectWise Authenticode

El desarrollo se produce mientras G DATA detalla un cl�ster de actividad de amenazas apodado EvilConwi que implica a malos actores que abusan de ConnectWise para incrustar c�digo malicioso utilizando una t�cnica llamada authenticode stuffing sin invalidar la firma digital.

La empresa alemana de ciberseguridad afirma haber observado un repunte de los ataques con esta t�cnica desde marzo de 2025. Las cadenas de infecci�n aprovechan principalmente los correos electr�nicos de phishing como vector de acceso inicial o a trav�s de sitios falsos anunciados como herramientas de inteligencia artificial (IA) en Facebook.

Estos mensajes de correo electr�nico contienen un enlace de OneDrive que redirige a los destinatarios a una p�gina de Canva con un bot�n "Ver PDF", que da lugar a la descarga y ejecuci�n subrepticia de un instalador de ConnectWise.

Los ataques funcionan implantando configuraciones maliciosas en atributos no autenticados dentro de la firma Authenticode para servir una pantalla falsa de actualizaci�n de Windows y evitar que los usuarios apaguen sus sistemas, adem�s de incluir informaci�n sobre la URL externa a la que debe establecerse la conexi�n remota para el acceso persistente.

Lo que hace notable a EvilConwi es que ofrece a los actores maliciosos una tapadera para operaciones nefastas al llevarlas a cabo utilizando un sistema o proceso de software de confianza, leg�timo y quiz�s elevado, lo que les permite volar bajo el radar.

"Modificando estos par�metros, los ciberdelincuentes crean su propio malware de acceso remoto que simula ser un software diferente, como un conversor de IA a im�genes de Google Chrome", explica Karsten Hahn, investigador de seguridad. "Tambi�n suelen a�adir im�genes y mensajes falsos de actualizaci�n de Windows, para que el usuario no apague el sistema mientras los hackers se conectan remotamente a �l".

Fuente: thehackernews