26/06/25
Атака была обнаружена специалистами SonicWall и Microsoft, которые зафиксировали попытки распространения изменённой версии программы NetExtender, маскирующейся под официальное приложение SonicWall.
По информации компаний, мошенники подготовили модифицированный установщик NetExtender версии 10.3.2.27. Он полностью копировал вид оригинального приложение, что позволяло легко вводить пользователей в заблуждение. Однако ключевым отличием стала цифровая подпись — её подделали, указав фиктивную организацию «CITYLIGHT MEDIA PRIVATE LIMITED». Сайт для загрузки этого вредоносного ПО также был фальшивым и внешне напоминал официальный ресурс SonicWall.
Попав на такой поддельный сайт, пользователи загружали не настоящее приложение для безопасного соединения, а вредоносный аналог. После установки программа незаметно похищала данные конфигурации VPN — логины, пароли, домены и другую информацию — и отправляла их на удалённый сервер, управляемый злоумышленниками.
Внутри модифицированного установщика были изменены два ключевых файла: NeService.exe и NetExtender.exe. Первый из них в оригинальном виде проверяет цифровую подпись и запускает приложение только после успешной проверки. Однако хакеры отключили этот механизм, чтобы программа запускалась даже при отсутствии действительной подписи. Второй файл, NetExtender.exe, был дополнен вредоносным кодом для передачи украденных данных на внешний сервер по IP-адресу 132.196.198.163 через порт 8080.
Хотя вредоносные сайты были оперативно отключены, а поддельный сертификат отозван, ситуация остаётся опасной. Как подчёркивают специалисты, злоумышленникам не составляет труда создавать новые фальшивые домены и распространять подделки заново. Подобные атаки особенно опасны для корпоративных пользователей SonicWall, поскольку похищенные учётные данные позволяют злоумышленникам получить доступ к защищённым сетям напрямую — без необходимости взлома устройств или эксплуатации уязвимостей.
Сами устройства и сервисы SonicWall уже много лет находятся под прицелом как киберпреступников, так и шпионских группировок, напоминает Securitylab.
