SilentRoute-Trojaner: Ein gefälschtes VPN-Tool, das unbemerkt Anmeldeinformationen kapert
Table of Contents
Ein vertrauenswürdiger Name wird zum Trojanischen Pferd
Eine weitere Cybersicherheitsbedrohung sorgt für Aufsehen in der Sicherheitslandschaft – und es handelt sich nicht um den üblichen Verdächtigen. Der Trojaner namens SilentRoute wurde in einer gefälschten Version des weit verbreiteten NetExtender VPN-Clients von SonicWall entdeckt. Der Angriff zielt auf Nutzer ab, die legitime Software herunterladen möchten, und verleitet sie dazu, stattdessen eine kompromittierte Version zu installieren.
NetExtender soll Remote-Benutzer sicher mit Unternehmensnetzwerken verbinden und ihnen Zugriff auf Dateien, interne Anwendungen und andere Ressourcen ermöglichen, als säßen sie an einem Schreibtisch im Büro. Wird diese Verbindung jedoch wie im Fall von SilentRoute als Waffe eingesetzt, wird sie zum Einfallstor für Angreifer, die vertrauliche Daten direkt vom Gerät des Benutzers stehlen möchten. SonicWall ist selbstverständlich nicht an der Verbreitung dieser Malware beteiligt .
Die Infiltrationsmethode von SilentRoute
Die infizierte Software, getarnt als Version 10.3.2.27 von NetExtender, wurde über eine betrügerische Website bereitgestellt, die inzwischen offline genommen wurde. Was die Täuschung so überzeugend macht, ist die digitale Signatur des Installationsprogramms – offenbar von einem seriösen Unternehmen namens CITYLIGHT MEDIA PRIVATE LIMITED. Diese digitale Signatur half vermutlich dabei, die Skepsis der Nutzer und die Sicherheitskontrollen zu umgehen.
Microsoft, das in Zusammenarbeit mit SonicWall die Kampagne untersuchte, identifizierte den Trojaner und verfolgte seine Verbreitung. Die Angreifer nutzten offenbar bekannte, aber effektive Methoden, um Opfer anzulocken – wie Suchmaschinenoptimierung (SEO), Spear-Phishing und sogar Malvertising, um die gefälschte Software zu verbreiten. Nutzer, die online nach NetExtender suchten, landeten möglicherweise unwissentlich auf der schädlichen Website, luden den gefälschten Client herunter und gaben dabei ihre Anmeldeinformationen preis.
So funktioniert SilentRoute hinter den Kulissen
Nach der Installation verhält sich die bösartige Version von NetExtender täuschend echt wie die echte Anwendung. Doch im Hintergrund wurden zwei ihrer Hauptkomponenten – NeService.exe und NetExtender.exe – so modifiziert, dass sie Konfigurationsdaten an einen vom Angreifer kontrollierten Server senden. Diese Daten umfassen Anmeldeinformationen wie Benutzernamen, Passwörter, Domänennamen und andere für den VPN-Zugriff wichtige Konfigurationsinformationen.
Die Malware kapert dazu den Verbindungsprozess. Sobald Nutzer ihre VPN-Anmeldedaten eingeben und auf „Verbinden“ klicken, fängt der Schadcode die Informationen ab und überträgt sie über Port 8080 mit der IP-Adresse 132.196.198.163 an einen Remote-Server. Die Malware umgeht dabei auch typische Zertifikatsprüfungen und stellt so sicher, dass die manipulierten Dateien nicht sofort Alarm schlagen.
Was das für Benutzer und Organisationen bedeutet
Die Auswirkungen dieser Kampagne gehen über den Diebstahl einzelner Anmeldeinformationen hinaus. Da VPNs oft die erste Zugangslinie zu einem sicheren Unternehmensnetzwerk darstellen, könnten kompromittierte Anmeldeinformationen Angreifern erhebliche Privilegien verschaffen und so laterale Bewegungen, Datenexfiltration und langfristige Überwachung ermöglichen. Für Unternehmen, die auf Remote-Arbeitsinfrastruktur angewiesen sind, stellt SilentRoute ein ernsthaftes Risiko für interne Systeme und sensible Daten dar.
Darüber hinaus erschwert der irreführende Einsatz digitaler Signaturen den Erkennungsprozess zusätzlich. Indem die Angreifer die Malware mit einem scheinbar gültigen Zertifikat signieren, umgehen sie viele herkömmliche Antiviren- und Endpunktschutz-Tools, insbesondere solche, die auf signaturbasierter Erkennung basieren.
Die breitere Bedrohungslandschaft: EvilConwi und verwandte Kampagnen
SilentRoute ist kein Einzelfall. Etwa zeitgleich berichtete das deutsche Cybersicherheitsunternehmen G DATA über einen ähnlichen Bedrohungscluster namens EvilConwi . Angreifer manipulierten dort vertrauenswürdige Tools – in diesem Fall ConnectWise-Installationsprogramme –, um Schadsoftware zu verbreiten. Diese Kampagnen nutzen „Authenticode Stuffing“, eine Technik, mit der Schadcode eingeschleust werden kann, ohne die digitale Signatur einer Datei zu beschädigen.
Infektionen im Fall von EvilConwi beginnen oft mit Phishing-E-Mails, die auf eine Canva-Seite verlinken, die dann ein manipuliertes ConnectWise-Installationsprogramm herunterlädt. Von dort aus platzieren Angreifer gefälschte Windows-Update-Bildschirme, um die Opfer daran zu hindern, ihre Systeme herunterzufahren, während im Hintergrund unbemerkt der Fernzugriff eingerichtet wird.
Dieser allgemeine Trend verdeutlicht eine wachsende Taktik unter Bedrohungsakteuren: Sie nutzen die Legitimität bekannter Software, um ihre Operationen zu verschleiern und so ihre Aktivitäten schwerer erkennbar und vertrauenswürdiger zu machen.
Der Bedrohung immer einen Schritt voraus
Die SilentRoute-Kampagne unterstreicht die Wichtigkeit von Wachsamkeit beim Herunterladen von Software, insbesondere von Sicherheits- und Fernzugriffstools. Benutzer und Administratoren sollten stets die Quelle von Downloads überprüfen und diese idealerweise direkt von offiziellen Anbieter-Websites beziehen, anstatt sich auf Suchmaschinenergebnisse zu verlassen.
Für Unternehmen ist dies auch ein Weckruf, die Endpunktüberwachung zu verstärken, wo möglich Certificate Pinning zu implementieren und verhaltensbasierte Erkennungsmechanismen in Betracht zu ziehen, die ungewöhnliche Netzwerkaktivitäten oder Dateiänderungen kennzeichnen können.
Da Angreifer ihre Absichten immer besser über vertrauenswürdige Kanäle verschleiern, müssen sich die Abwehrmaßnahmen gegen Cyberangriffe parallel weiterentwickeln. Der SilentRoute-Trojaner erinnert uns daran, dass Vertrauen – insbesondere in Software – ständig überprüft und nicht vorausgesetzt werden muss.
