Фалшив VPN клиент краде потребителски данни

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

SonicWall и Microsoft разкриха троянски вариант на NetExtender VPN клиент, който краде потребителски данни чрез фалшив уебсайт.

SonicWall и Microsoft Threat Intelligence алармираха за троянски вариант на VPN клиента NetExtender, който краде конфигурационни данни и идентификационни данни на потребители. Зловредният софтуер се разпространява чрез фалшив уебсайт, който наподобява официалния портал на компанията, с цел да заблуди потребителите, че изтеглят оригинален софтуер.

Как работи измамата

Модифицираната версия имитира официалната последна версия на NetExtender – v10.3.2.27, но съдържа зловреден код, който извлича чувствителна информация и я изпраща към отдалечен сървър с IP адрес 132.196.198.163, използвайки порт 8080.

Какво представлява NetExtender?

SonicWall NetExtender е SSL VPN клиент, използван за отдалечен достъп до корпоративни мрежи, особено в малки и средни предприятия. Това го прави привлекателна мишена за атакуващи, които търсят начин да придобият учетни данни на ИТ администратори, служители и подизпълнители.

Технически детайли на атаката

Изследователите идентифицират две модифицирани бинарни файлове:

  • NeService.exe – с пропусната валидационна логика, позволяваща на зловредния софтуер да заобиколи проверка на цифрови подписи;

  • NetExtender.exe – с инжектиран код, който при натискане на бутона „Connect“ събира въведените данни (потребителско име, парола, домейн, IP и други) и ги изпраща към контролирания от атакуващия сървър.

Файлът не е подписан от SonicWall, но има цифров подпис от „CITYLIGHT MEDIA PRIVATE LIMITED“, което обърква потребителите и заобикаля базови механизми за защита.

Препоръки за защита

SonicWall подчертава, че официалният софтуер трябва да се изтегля само от:

Също така:

  • Избягвайте рекламирани линкове в търсачки – използвайте директни връзки;

  • Сканирайте файловете преди изпълнение с актуализиран антивирусен софтуер;

  • Не се доверявайте на съмнителни източници, включително форуми, директни съобщения, видеа в TikTok или YouTube, които предлагат връзки за изтегляне;

  • SonicWall и Microsoft Defender вече разпознават и блокират тази модификация, но други инструменти за сигурност може да не са я добавили още.

Този инцидент е поредно доказателство, че дори добре познати инструменти могат да бъдат компрометирани, ако потребителите не следват принципите за сигурност при изтегляне и инсталация на софтуер. Фалшивите VPN клиенти са особено опасни, защото атакуващите получават директен достъп до вътрешната мрежа на организацията.

#мрежова сигурност
По материали от Интернет

Подобни

Jenkins plugin на Checkmarx разпространявал malware след supply-chain атака
12.05.2026
IMG-MC-malwareprotectiontest
MuddyWater прикрива кибершпионаж зад фалшива ransomware операция
12.05.2026
Iran-fingerprint
Злонамерена кампания използва Google Ads и Claude.ai чатове
11.05.2026
cybersecurity-6949298_1280
Малуер в Hugging Face се представя за OpenAI проект и сее infostealer
11.05.2026
Img_Blog_Malware_Trends
TCLBanker - нов банков троянец се разпространява чрез фалшив Logitech AI инсталатор
11.05.2026
botnet-malware
PCPJack - нов зловреден фреймуърк отвлича cloud инфраструктури
11.05.2026
Cloud_John_Williams_RF_Alamy

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy