Cheval de Troie SilentRoute
Les cybercriminels ont une fois de plus trouvé un moyen d'exploiter des logiciels de confiance, cette fois en créant une version trojanisée du VPN SSL NetExtender. Cette campagne d'attaque, découverte par des chercheurs en cybersécurité, représente une menace sérieuse pour les utilisateurs souhaitant accéder à un réseau à distance.
Table des matières
Le Troyen déguisé
Au cœur de cette campagne se trouve une version modifiée du client VPN SSL NetExtender, un outil légitime conçu pour permettre aux utilisateurs distants de se connecter en toute sécurité aux réseaux d'entreprise. Il permet aux utilisateurs d'exécuter des applications internes, d'accéder à des disques partagés et de transférer des fichiers comme s'ils étaient physiquement présents sur le réseau de l'entreprise.
Malheureusement, un groupe malveillant inconnu a diffusé une fausse version de ce logiciel, y injectant un malware baptisé SilentRoute. Une fois installée, cette version malveillante vole silencieusement les données sensibles de l'utilisateur.
Comment fonctionne l’attaque
Les attaquants utilisent un faux site web pour héberger le programme d'installation malveillant de NetExtender, déguisé en version 10.3.2.27. Bien que le site web ait été fermé, le programme d'installation aurait été signé numériquement par CITYLIGHT MEDIA PRIVATE LIMITED, lui donnant ainsi une fausse apparence de légitimité.
Les victimes sont probablement incitées à télécharger le logiciel malveillant via :
- Sites Web falsifiés apparaissant dans les résultats de recherche via un empoisonnement SEO
- Courriels de spear-phishing contenant des liens malveillants
- Campagnes de publicité malveillante et publications trompeuses sur les réseaux sociaux
Une fois téléchargé, le programme d'installation malveillant déploie des versions modifiées de deux composants critiques, NeService.exe et NetExtender.exe, qui ont été modifiés pour ignorer la validation des certificats numériques. Ces composants exfiltrent discrètement les données de configuration vers un serveur contrôlé par l'attaquant à l'adresse 132.196.198.163:8080.
Ce qui est volé et comment
Une fois que l'utilisateur a saisi ses identifiants VPN et cliqué sur le bouton « Se connecter », le cheval de Troie effectue ses propres vérifications avant de transmettre les données volées au serveur de l'attaquant. Les informations exfiltrées comprennent :
- Nom d'utilisateur
- Mot de passe
- Domaine
- Détails du serveur VPN et données de configuration
Ces informations volées pourraient donner aux attaquants un accès non autorisé aux environnements d’entreprise, ce qui constitue un problème majeur de cybersécurité.
Points clés pour rester protégé
Pour éviter d’être victimes de telles menaces, les organisations et les utilisateurs doivent :
- Téléchargez uniquement des outils VPN et d'accès à distance à partir de sites Web officiels ou de fournisseurs vérifiés.
- Soyez prudent lorsque vous cliquez sur des liens dans des e-mails, des publicités ou des résultats de recherche, en particulier ceux proposant des téléchargements de logiciels.
De plus, les administrateurs réseau doivent surveiller les connexions sortantes inhabituelles et s’assurer que les systèmes de protection des points de terminaison sont à jour et configurés pour détecter les exécutables falsifiés.
Réflexions finales
La campagne SilentRoute met en lumière la sophistication croissante de la diffusion de logiciels malveillants par usurpation d'identité et ingénierie sociale. La vigilance, associée à une hygiène numérique rigoureuse, reste la meilleure défense contre ces menaces trompeuses.
