SonicWall: поддельный клиент NetExtender ворует логины VPN

Компания SonicWall предупредила о распространении вредоносной версии своего VPN-клиента NetExtender. Поддельное ПО маскируется под официальную версию 10.3.2.27 и размещается на фальшивом сайте, стилизованном под портал SonicWall. При установке троянизированный клиент собирает VPN-логины, пароли, домены и другую конфигурационную информацию, после чего передает ее злоумышленникам.

Исследователи SonicWall и Microsoft Threat Intelligence обнаружили два модифицированных бинарных файла, включая NetExtender.exe и NeService.exe. Первый файл отвечает за кражу данных, второй — за обход проверки цифровой подписи. Вместо подписи SonicWall используется сертификат малоизвестной индийской компании, позволяющий вредоносному ПО избежать базовых механизмов защиты.

Вредонос распространяется через поддельные сайты, ссылки в сообщениях, SEO-отравление и даже видеоролики на YouTube и TikTok. После того как пользователь вводит свои данные в зараженном клиенте и нажимает кнопку подключения, информация уходит на удаленный сервер по IP 132.196.198.163.

SonicWall призывает загружать VPN-клиенты исключительно с официальных сайтов — sonicwall.com и mysonicwall.com. Также рекомендуется использовать актуальные версии антивирусов, поскольку не все защитные решения способны своевременно выявить угрозу.