Kifinomult adathalászat, célkeresztben a céges VPN
A fertőzött alkalmazás célja, hogy megszerezze és továbbítsa a VPN-konfigurációt, valamint a felhasználói adatokat a támadókhoz. A SonicWall NetExtender kliens a céges belső hálózatok távoli, biztonságos elérését biztosítja, elsősorban KKV-k, IT-adminisztrátorok és külső partnerek számára. Két módosított futtatható állomány is terjed a hamis oldalakon: a NeService.exe digitális tanúsítvány-ellenőrzése meg lett hekkelve, a NetExtender.exe pedig az adatokat lopja.
Még a kattintással is óvatosnak kell lenni
További kód gondoskodik arról, hogy a VPN-bejelentkezés után, a Connect gombra kattintva az adatok egy távoli szerverre, a 132.196.198.163-as címre (8080-as porton) kerüljenek – többek között felhasználónév, jelszó, domain is kiszivárog. A SonicWall és a Microsoft Defender már felismeri és blokkolja a kártékony installereket, de más biztonsági megoldások még le lehetnek maradva. A legtöbb áldozatot malvertising, hamis keresési eredmények, közösségi média üzenetek és videók terelik a csaló oldalakra.
Csak eredeti forrásból tölts szoftvert!
Csak a gyártó hivatalos oldaláról – sonicwall.com vagy mysonicwall.com – érdemes letölteni bármit, a keresőben megjelenő első találatokat pedig inkább kerüld el. Mindig friss vírusirtóval vizsgáld át a letöltött fájlokat, mielőtt elindítanád őket, különösen, ha az IT-biztonság a tét.
