SonicWall advierte sobre un NetExtender troyanizado que roba información del usuario.

SonicWall dice que una versión modificada de la aplicación legítima NetExtender contiene un código que roba información.

SonicWall ha emitido una alerta sobre una campaña que distribuye una versión modificada de su aplicación NetExtender para robar información de los usuarios.

NetExtender, una aplicación VPN SSL, proporciona a los usuarios remotos acceso seguro a los recursos empresariales, ofreciendo capacidades de descarga y carga de archivos, acceso a unidades de red y más.

“En colaboración con Microsoft Threat Intelligence (MSTIC), SonicWall ha identificado una campaña engañosa para distribuir una versión pirateada y modificada de la aplicación SSL VPN NetExtender de SonicWall que se parece mucho al software oficial SonicWall NetExtender”, anunció la compañía .

La versión troyanizada de la aplicación se creó utilizando la última versión de NetExtender (versión 10.3.2.27) y está firmada digitalmente con un certificado emitido para Citylight Media Private Limited, explica SonicWall.

El código malicioso en la aplicación modificada fue diseñado para obtener información relacionada con la configuración de VPN del usuario y enviarla a un servidor remoto.

Según SonicWall, el actor de amenazas modificó dos componentes del instalador de NetExtender, concretamente los ejecutables NeService y NetExtender.

En el primero, el atacante modificó una función que valida los certificados digitales de los componentes de NetExtender, de modo que los archivos se ejecutaran independientemente de los resultados de la validación.

Este último contiene código que se activa cuando el usuario hace clic en el botón “Conectar”, para realizar la validación de la configuración de VPN y enviar la información al servidor del atacante.

“La información de configuración robada incluye el nombre de usuario, la contraseña, el dominio y más”, dice SonicWall.

Junto con Microsoft, la compañía eliminó los sitios web suplantadores de identidad y revocó el certificado digital del instalador. Ambas empresas han añadido firmas a sus soluciones de seguridad para detectar la versión falsa de NetExtender.

“Se recomienda encarecidamente que los usuarios descarguen las aplicaciones de SonicWall solo de fuentes confiables: sonicwall.com o mysonicwall.com”, señala SonicWall.