كشفت جهات أمنية عن حملة جديدة يستخدم فيها مهاجمون مجهولون نسخة مزيفة خبيثة من تطبيق SonicWall NetExtender الخاص بشبكات VPN، بهدف سرقة بيانات اعتماد الدخول (Credentials) من المستخدمين الذين يظنون أنهم يحمّلون نسخة شرعية.
تفاصيل الهجوم عبر NetExtender
ووفقًا للباحث الأمني “سرافان جاناشاري” من SonicWall، فإن NetExtender يُمكّن المستخدمين من الاتصال الآمن بشبكة الشركة عن بُعد، والوصول إلى الملفات، ومحركات الأقراص، والتطبيقات وكأنهم متصلون محليًا.
لكن النسخة المزيفة من التطبيق – والتي أطلقت مايكروسوفت عليها اسم SilentRoute – كانت تنتحل الإصدار الرسمي الأخير (10.3.2.27)، وتم توزيعها عبر موقع إلكتروني مزيف تم إغلاقه لاحقًا. اللافت أن ملف التثبيت الخبيث كان مُوقعًا رقميًا من قبل شركة تدعى “CITYLIGHT MEDIA PRIVATE LIMITED”، ما يشير إلى محاولة خداع متقنة.
أهداف الحملة:
استهداف المستخدمين الذين يبحثون عن التطبيق على محركات البحث مثل Google وBing، وخداعهم عبر مواقع مزيفة مدفوعة بأساليب مثل:
التصيّد الإلكتروني (Spear-Phishing)
التلاعب بنتائج البحث (SEO Poisoning)
الإعلانات الضارة (Malvertising)
منشورات مزيفة على مواقع التواصل الاجتماعي
مكونات التروجان وآلية عمله
تم تعديل مكونين رئيسيين داخل المثبت الخبيث:
- NeService.exeNetExtender.exe
ليصبحا قادرين على:
-
تجاوز تحقق التوقيعات الرقمية للمكونات الأخرى.
-
إرسال معلومات تكوين VPN المسروقة إلى خادم خارجي (IP: 132.196.198[.]163 على المنفذ 8080).
وقال جاناشاري:
“بمجرد إدخال بيانات التكوين والضغط على زر الاتصال، يقوم الكود الخبيث بإجراء تحقق خاص به ثم يرسل البيانات إلى الخادم.”
وتشمل البيانات المسروقة:
اسم المستخدم
كلمة المرور
اسم النطاق (Domain)
إعدادات VPN الإضافية
استغلال توقيعات ConnectWise في هجمات EvilConwi
في تطور موازٍ، كشفت شركة G DATA الألمانية للأمن السيبراني عن مجموعة تهديدات جديدة تُعرف باسم EvilConwi، تستغل برمجية ConnectWise عبر تقنية تُدعى Authenticode Stuffing، وهي طريقة تتيح تضمين أكواد خبيثة داخل توقيع رقمي صالح دون إبطاله.
موجة الهجمات بدأت في مارس 2025، وتعتمد على:
رسائل تصيّد إلكتروني تتضمن رابط OneDrive يقود إلى صفحة Canva مزيفة
زر “View PDF” يؤدي إلى تحميل مشغّل مزيف لبرنامج ConnectWise
خداع متقن عبر تحديث وهمي
بمجرد التنفيذ، يقوم التهديد بزرع:
-
شاشة مزيفة لتحديث ويندوز تمنع المستخدم من إيقاف الجهاز.
-
إعدادات خاصة تربط الجهاز بعنوان URL خارجي يسمح بالتحكم عن بُعد.
قال الباحث “كارستن هان” من G DATA:
“يقوم المهاجمون بإنشاء برمجيات وصول عن بُعد مزيفة تتظاهر بأنها أدوات شرعية، مثل محول الذكاء الاصطناعي من جوجل، ويضيفون صور تحديث وهمي لخداع المستخدم وإبقاء النظام نشطًا أثناء الاتصال.”
