L’app SonicWall NetExtender trojanizzata esfiltra le credenziali VPN

SonicWall
24Giu

L’app SonicWall NetExtender trojanizzata esfiltra le credenziali VPN

SonicWall: scoperto installer trojanizzato di NetExtender distribuito tramite siti falsi

Nella giornata di lunedì, SonicWall ha lanciato un avvertimento urgente riguardo a una pericolosa campagna di distribuzione malware che ha preso di mira il suo client SSL-VPN NetExtender, ampiamente utilizzato per l’accesso remoto sicuro alle reti aziendali.

Secondo quanto comunicato dall’azienda, attori sconosciuti hanno creato e diffuso versioni trojanizzate di NetExtender, inducendo ignari utenti a scaricarle da siti web contraffatti, accuratamente progettati per assomigliare ai portali ufficiali di SonicWall. Questa tecnica di typosquatting e phishing visivo è stata impiegata per ingannare gli utenti meno attenti e convincerli a installare software malevolo che, pur apparendo legittimo, contiene codice dannoso in grado di compromettere la sicurezza del sistema.

Gli installer contraffatti erano distribuiti tramite canali non ufficiali, probabilmente promossi anche attraverso campagne SEO malevole o link inviati via e-mail o messaggi social, simulando comunicazioni autentiche da parte di SonicWall o dei suoi partner.

L’azienda ha specificato che i suoi server e canali ufficiali non sono stati compromessi, e che le versioni legittime di NetExtender scaricate dal sito ufficiale rimangono sicure. Tuttavia, raccomanda a tutti gli utenti e amministratori di sistema di verificare attentamente la fonte da cui scaricano il software, prestando attenzione a domini sospetti o anomalie nei certificati digitali.

Implicazioni per la sicurezza

L’utilizzo di una versione trojanizzata del client VPN può consentire agli attaccanti di:

  • intercettare credenziali di accesso e sessioni VPN,

  • installare backdoor persistenti all’interno dei sistemi aziendali,

  • ottenere accesso laterale alla rete interna,

  • esfiltrare dati sensibili o installare ulteriori payload malware.

Si tratta dunque di una minaccia ad alto impatto, soprattutto per aziende che dipendono da connessioni VPN per il lavoro remoto e l’accesso ai sistemi critici.

Raccomandazioni di SonicWall

SonicWall invita utenti e responsabili IT a:

  • scaricare esclusivamente il software NetExtender dal sito ufficiale (https://www.sonicwall.com),

  • verificare la firma digitale degli eseguibili,

  • eseguire una scansione completa dei sistemi che potrebbero aver installato versioni compromesse,

  • monitorare i log di accesso VPN per attività sospette.

L’azienda sta collaborando con partner di sicurezza e autorità competenti per tracciare la campagna e rimuovere i domini malevoli utilizzati per la distribuzione.

Cos’è NetExtender?
SonicWall NetExtender è un client VPN SSL comunemente utilizzato dalle aziende per fornire un accesso sicuro alle reti interne ai dipendenti che lavorano da remoto.

I dettagli dell’attacco
Secondo quanto comunicato da SonicWall, il file di installazione malevolo risultava firmato digitalmente da “CITYLIGHT MEDIA PRIVATE LIMITED”, e includeva modifiche a due componenti legittimi:

  • NeService.exe: firmato digitalmente ma con una firma non valida.

  • NetExtender.exe: privo di firma digitale.

NeService.exe, normalmente incaricato di verificare i certificati digitali dei componenti NetExtender, è stato manipolato per bypassare questi controlli, permettendo l’esecuzione anche di file non verificati. Come spiegato da SonicWall, “nel programma di installazione dannoso, il file è stato patchato in tutti i punti in cui i risultati della convalida venivano valutati, consentendo comunque l’esecuzione.”

NetExtender.exe, invece, è stato modificato per trasmettere i dati di configurazione VPN dell’utente (inclusi nome utente, password e dominio) a un server remoto tramite la porta 8080. L’indirizzo IP di destinazione è: 132.196.198.163.

NetExtender Configurazione Vpn

Diffusione e revoca del certificato
Al momento non è chiaro come le vittime siano state indirizzate verso i siti contraffatti. SonicWall non ha confermato se la distribuzione sia avvenuta tramite campagne email, annunci pubblicitari o risultati di ricerca manipolati. L’azienda ha riferito che i siti malevoli sono stati rimossi e il certificato digitale utilizzato è stato revocato.

SonicWall invita tutti gli utenti a scaricare il software esclusivamente dai domini ufficiali:

Rilevamento e mitigazione
Il programma di installazione compromesso è attualmente rilevato e bloccato da Microsoft Defender Antivirus e dal sistema di sicurezza Capture ATP di SonicWall, che impiega una sandbox multi-motore per identificare le minacce.

Di Cyb & Des Consulting, Cybersecurity , , , , , , , , , 0 Commenti
Share:

Related Posts

Domini e Hosting 31 Agosto 2024

Domini web: come trovare quelli disponibili strumenti di ricerca e consigli

Leggi di più
Web Cache Vulnerability Scanner 23 Gennaio 2025

Web Cache Vulnerability Scanner: il tool open source per individuare vulnerabilità

Leggi di più
NodeLoader Un caricatore malware basato su Node 17 Dicembre 2024

NodeLoader Un caricatore malware basato su Node.js

Leggi di più
Vulnerabilità ad alto rischio di WinRAR RCE 24 Giugno 2025

Vulnerabilità ad alto rischio di WinRAR RCE corretta, aggiorna subito! (CVE-2025-6218)

Leggi di più
Piattaforme DDoS 12 Dicembre 2024

Repressione globale contro le piattaforme DDoS: sequestrate 27 piattaforme

Leggi di più
I professionisti della privacy 22 Gennaio 2025

I professionisti della privacy sono sempre più stressati

Leggi di più
Microsoft rafforza le difese contro gli attacchi relay NTLM 11 Dicembre 2024

Microsoft rafforza le difese contro gli attacchi relay NTLM

Leggi di più
La botnet Mirai e il piu grande attacco DDoS mai registrato 23 Gennaio 2025

La botnet Mirai e il più grande attacco DDoS mai registrato

Leggi di più
Piattaforma open source o proprietaria 6 Settembre 2024

La scelta tra una piattaforma open source o proprietaria?

Leggi di più
Internet of Things (IoT) 31 Agosto 2024

L’Internet of Things (IoT) si riferisce alla rete di dispositivi fisici connessi

Leggi di più
Translate »
error: Il contenuto è protetto!!