Sonicwall warnt vor mit Schadcode verseuchter Fake-NetExtender-App

vor 3 Stunden 1

Angreifer haben eine mit Schadcode präparierte Windowsversion von Sonicwalls VPN-Software NetExtender veröffentlicht. Darüber schneiden sie VPN-Zugangsdaten mit.

Davor warnt das IT-Unternehmen in einem aktuellen Beitrag. Über NetExtender stellen etwa Firmenmitarbeiter eine VPN-Verbindung ins Unternehmensnetzwerk her, um unter anderem auf Netzwerklaufwerke zuzugreifen.

In Zusammenarbeit mit Sicherheitsforschern von Microsoft ist Sonicwall nun auf eine mit Schadcode versehene Variante der VPN-Software gestoßen. Sie wurde auf einer Website angeboten, die wie die legitime NetExtender-Seite gestaltet war. Mittlerweile wurde die Website offline genommen und Windows stuft das Zertifikat, mit der die Fake-App signiert wurde, als nicht vertrauenswürdig ein. In welchem Umfang die Anwendung in Umlauf ist, ist derzeit nicht bekannt. Inzwischen sollten Virenscanner den Schadcode erkennen und Alarm schlagen.

Um zu erkennen, ob man die Fake-Version installiert hat, muss man die Eigenschaften der ausführbaren NetExtender-Datei öffnen und die "Digitale Signatur" prüfen. Steht dort "CITYLIGHT MEDIA PRIVATE LIMITED", handelt es sich um die verseuchte Version und Admins sollten sie umgehend löschen. Im Beitrag von Sonicwall findet man auch die Prüfsummen betroffener Dateien.

Sonicwall gibt an, dass die Cyberkriminellen die Dateien NEService.exe und NetExtender.exe mit Schadcode manipuliert haben. In der erstgenannten Datei haben die Angreifer die Validierung des Zertifikats entfernt, sodass die Datei starten kann, auch wenn die Signatur ungültig ist. In NetExtender.exe steckt Code, um VPN-Zugangsdaten inklusive Passwort zu kopieren und an einen Server der Angreifer zu schicken.

Dieser Fall zeigt abermals, dass man Software und Tools ausschließlich von den Herstellerwebsites oder verlässlichen Downloadportalen wie heise Download herunterladen sollte. Erschwerend kommt hinzu, dass immer wieder Fake-Websites ganz oben in den Ergebnissen einer Internetsuche landen. Neuerdings passiert das auch in Googles neuer KI-gestützter Suche.

(des)

Gesamten Artikel lesen
  1. Startseite
  2. Technologie
  3. Sonicwall warnt vor mit Schadcode verseuchter Fake-NetExtender-App

Verwandte

Unerwünschte Apple-Werbung: Push-Mitteilung verärgert iPhone-Nutzer in den USA

Unerwünschte Apple-Werbung: Push-Mitteilung verärgert iPhone...

vor 32 Minuten 0
Quantencomputing: Langfristig sicher dank QKD

Quantencomputing: Langfristig sicher dank QKD

vor 51 Minuten 0
heise+ | Security: Wie sich der Cyber Resilience Act auf Open-Source-Projekte auswirkt

heise+ | Security: Wie sich der Cyber Resilience Act auf Ope...

vor 53 Minuten 0

Trending

Populär

Schalke hält sich mit Saisonzielen diesmal zurück

Schalke hält sich mit Saisonzielen diesmal zurück

vor 2 Tage 4
NBA: Kevin Durant wechselt zu den Houston Rockets

NBA: Kevin Durant wechselt zu den Houston Rockets

vor 2 Tage 3
Kieler Woche: Klimaaktivisten bemalen Fregatte der Marine

Kieler Woche: Klimaaktivisten bemalen Fregatte der Marine

vor 2 Tage 3
Abbas Araghtschi: Irans Außenminister droht den USA und sucht das Gespräch mit Putin

Abbas Araghtschi: Irans Außenminister droht den USA und such...

vor 2 Tage 3
Make-up bei Männern: Schutz, Schönheit, Selbstfürsorge

Make-up bei Männern: Schutz, Schönheit, Selbstfürsorge

vor 2 Tage 3
Über uns · Für Werbetreibende · Kontakt · Allgemeine Geschäftsbedingungen · Datenschutzrichtlinie · Impressum ·

© Domain Auction s.r.l. - VAT IT02622890065 - Via Vescovado 18 - 15121 Alessandria, Italy . Alle Rechte vorbehalten