Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Troyano SilentRoute

Troyano SilentRoute

Por Mezo en Software malicioso, Troyanos
Traducir a:

Los ciberdelincuentes han encontrado una vez más la manera de utilizar software de confianza como arma, esta vez creando una versión troyanizada de SSL VPN NetExtender. Esta campaña de ataque, descubierta por investigadores de ciberseguridad, representa una grave amenaza para los usuarios que buscan acceso remoto a la red.

El troyano disfrazado

En el centro de esta campaña se encuentra una versión modificada del cliente SSL VPN NetExtender, una herramienta legítima diseñada para que los usuarios remotos se conecten de forma segura a las redes empresariales. Permite a los usuarios ejecutar aplicaciones internas, acceder a unidades compartidas y transferir archivos como si estuvieran físicamente presentes en la red de la empresa.

Desafortunadamente, un grupo de amenazas desconocido ha estado distribuyendo una versión falsa de este software, inyectándole malware denominado SilentRoute. Una vez instalada, esta versión fraudulenta roba silenciosamente datos confidenciales del usuario.

Cómo funciona el ataque

Los atacantes utilizan un sitio web falso para alojar el instalador malicioso de NetExtender, camuflado en la versión legítima 10.3.2.27. Aunque el sitio web ha sido desmantelado, se informa que el instalador contaba con la firma digital de CITYLIGHT MEDIA PRIVATE LIMITED, lo que le da una falsa imagen de legitimidad.

Es probable que las víctimas sean engañadas para descargar el malware a través de:

  • Sitios web falsificados que aparecen en los resultados de búsqueda mediante envenenamiento SEO
  • Correos electrónicos de phishing con enlaces maliciosos
  • Campañas de publicidad maliciosa y publicaciones engañosas en redes sociales

Una vez descargado, el instalador malicioso implementa versiones modificadas de dos componentes críticos, NeService.exe y NetExtender.exe, que han sido modificados para ignorar la validación del certificado digital. Estos componentes extraen silenciosamente datos de configuración a un servidor controlado por el atacante en la dirección 132.196.198.163:8080.

¿Qué se roba y cómo?

Después de que el usuario introduce sus credenciales de VPN y pulsa el botón "Conectar", el troyano realiza sus propias comprobaciones antes de transmitir los datos robados al servidor del atacante. La información extraída incluye:

  • Nombre de usuario
  • Contraseña
  • Dominio
  • Detalles del servidor VPN y datos de configuración

Esta información robada podría otorgar a los atacantes acceso no autorizado a entornos corporativos, lo que lo convierte en un problema importante de ciberseguridad.

Puntos clave para mantenerse protegido

Para evitar ser víctimas de estas amenazas, las organizaciones y los usuarios deben:

  • Descargue únicamente herramientas de acceso remoto y VPN de sitios web oficiales o de proveedores verificados.
  • Tenga cuidado al hacer clic en enlaces en correos electrónicos, anuncios o resultados de búsqueda, especialmente aquellos que ofrecen descargas de software.

Además, los administradores de red deben monitorear las conexiones salientes inusuales y asegurarse de que los sistemas de protección de puntos finales estén actualizados y configurados para detectar ejecutables manipulados.

Reflexiones finales

La campaña SilentRoute destaca la creciente sofisticación de la distribución de malware mediante la suplantación de identidad y la ingeniería social. La vigilancia, sumada a una sólida higiene digital, sigue siendo la mejor defensa contra estas amenazas engañosas.

Tendencias

Mas Visto

Cargando...