heise PlusAbo
Anzeige

Sonicwall: Angreifer kopieren VPN-Daten mittels Fake-NetExtender-App

Derzeit ist eine von Cyberkriminellen manipulierte Ausgabe der VPN-Anwendung NetExtender in Umlauf.

vorlesen Druckansicht

(Bild: Skorzewiak/Shutterstock.com)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Angreifer haben eine mit Schadcode präparierte Windowsversion von Sonicwalls VPN-Software NetExtender veröffentlicht. Darüber schneiden sie VPN-Zugangsdaten mit.

Davor warnt das IT-Unternehmen in einem aktuellen Beitrag. Ăśber NetExtender stellen etwa Firmenmitarbeiter eine VPN-Verbindung ins Unternehmensnetzwerk her, um unter anderem auf Netzwerklaufwerke zuzugreifen.

In Zusammenarbeit mit Sicherheitsforschern von Microsoft ist Sonicwall nun auf eine mit Schadcode versehene Variante der VPN-Software gestoĂźen. Sie wurde auf einer Website angeboten, die wie die legitime NetExtender-Seite gestaltet war. Mittlerweile wurde die Website offline genommen und Windows stuft das Zertifikat, mit der die Fake-App signiert wurde, als nicht vertrauenswĂĽrdig ein. In welchem Umfang die Anwendung in Umlauf ist, ist derzeit nicht bekannt. Inzwischen sollten Virenscanner den Schadcode erkennen und Alarm schlagen.

Videos by heise

Um zu erkennen, ob man die Fake-Version installiert hat, muss man die Eigenschaften der ausführbaren NetExtender-Datei öffnen und die "Digitale Signatur" prüfen. Steht dort "CITYLIGHT MEDIA PRIVATE LIMITED", handelt es sich um die verseuchte Version und Admins sollten sie umgehend löschen. Im Beitrag von Sonicwall findet man auch die Prüfsummen betroffener Dateien.

Sonicwall gibt an, dass die Cyberkriminellen die Dateien NEService.exe und NetExtender.exe mit Schadcode manipuliert haben. In der erstgenannten Datei haben die Angreifer die Validierung des Zertifikats entfernt, sodass die Datei starten kann, auch wenn die Signatur ungĂĽltig ist. In NetExtender.exe steckt Code, um VPN-Zugangsdaten inklusive Passwort zu kopieren und an einen Server der Angreifer zu schicken.

Dieser Fall zeigt abermals, dass man Software und Tools ausschließlich von den Herstellerwebsites oder verlässlichen Downloadportalen wie heise Download herunterladen sollte. Erschwerend kommt hinzu, dass immer wieder Fake-Websites ganz oben in den Ergebnissen einer Internetsuche landen. Neuerdings passiert das auch in Googles neuer KI-gestützter Suche.

(des)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten