Cheval de Troie SilentRoute : un faux outil VPN qui détourne les identifiants en toute discrétion

Un nom de confiance devenu cheval de Troie

Une autre menace de cybersécurité fait des vagues dans le paysage de la sécurité, et ce n'est pas le suspect habituel. Baptisé SilentRoute , ce cheval de Troie malveillant a été découvert, intégré à une fausse version du client VPN NetExtender de SonicWall, très utilisé. L'attaque cible les utilisateurs souhaitant télécharger des logiciels légitimes, les incitant à installer une version compromise.

À la base, NetExtender est conçu pour connecter en toute sécurité les utilisateurs distants aux réseaux d'entreprise, leur permettant d'accéder aux fichiers, aux applications internes et à d'autres ressources comme s'ils étaient assis à leur bureau. Cependant, lorsqu'elle est utilisée comme une arme, comme dans le cas de SilentRoute, cette connectivité devient une passerelle permettant aux attaquants de voler des données sensibles directement sur l'appareil de l'utilisateur. Il va sans dire que SonicWall n'est pas associé à la prolifération de ce malware.

Méthode d'infiltration de SilentRoute

Le logiciel infecté, se faisant passer pour la version 10.3.2.27 de NetExtender, a été découvert via un site web frauduleux, depuis hors ligne. Ce qui rend cette ruse convaincante, c'est que le programme d'installation était signé numériquement, apparemment par une société légitime nommée CITYLIGHT MEDIA PRIVATE LIMITED. Cette signature numérique a probablement permis de contourner le scepticisme des utilisateurs et les contrôles de sécurité.

Microsoft, qui s'est associé à SonicWall pour enquêter sur la campagne, a identifié le cheval de Troie et suivi sa distribution. Les attaquants semblent avoir employé des méthodes familières mais efficaces pour attirer leurs victimes, recourant à des tactiques telles que l'empoisonnement du référencement (SEO), le spear-phishing et même le malvertising pour diffuser le logiciel contrefait. Les utilisateurs recherchant NetExtender en ligne ont peut-être atterri sans le savoir sur le site malveillant, téléchargé le faux client et exposé leurs identifiants au passage.

Comment SilentRoute fonctionne en coulisses

Une fois installée, la version malveillante de NetExtender se comporte de manière trompeuse, comme l'application réelle. Mais en coulisses, deux de ses principaux composants – NeService.exe et NetExtender.exe – ont été modifiés pour envoyer des données de configuration à un serveur contrôlé par un attaquant. Ces données comprennent des identifiants de connexion tels que des noms d'utilisateur, des mots de passe, des noms de domaine et d'autres informations de configuration essentielles à l'accès VPN.

Le logiciel malveillant y parvient en détournant le processus de connexion. Lorsque les utilisateurs saisissent leurs identifiants VPN et cliquent sur « Se connecter », le code malveillant intercepte les informations et les transmet à un serveur distant via le port 8080, en utilisant l'adresse IP 132.196.198.163. Il est à noter que le logiciel malveillant contourne également les vérifications de certificat habituelles, garantissant ainsi que les fichiers falsifiés ne déclenchent pas immédiatement d'alertes.

Ce que cela signifie pour les utilisateurs et les organisations

Les implications de cette campagne vont au-delà du vol d'identifiants individuels. Les VPN étant souvent la première ligne d'accès à un réseau d'entreprise sécurisé, les identifiants compromis pourraient conférer aux attaquants des privilèges importants, permettant ainsi des déplacements latéraux, l'exfiltration de données et une surveillance à long terme. Pour les organisations s'appuyant sur une infrastructure de télétravail, SilentRoute représente un risque sérieux pour les systèmes internes et les données sensibles.

De plus, l'utilisation trompeuse de signatures numériques complique encore davantage le processus de détection. En signant le logiciel malveillant avec ce qui semble être un certificat valide, les attaquants contournent de nombreux outils antivirus et de protection des terminaux conventionnels, notamment ceux qui reposent sur la détection par signature.

Le paysage plus large des menaces : EvilConwi et les campagnes associées

SilentRoute n'est pas un incident isolé. À la même époque, l'entreprise allemande de cybersécurité G DATA a signalé un groupe de menaces similaire, baptisé EvilConwi , où des attaquants ont manipulé des outils de confiance – en l'occurrence, des installateurs ConnectWise – pour déployer des logiciels malveillants. Ces campagnes exploitent l'« authenticode stuffing », une technique permettant d'injecter du code malveillant sans altérer la signature numérique d'un fichier.

Dans le cas d'EvilConwi, les infections commencent souvent par des e-mails de phishing renvoyant vers une page Canva, qui télécharge ensuite un programme d'installation ConnectWise falsifié. De là, les attaquants déploient de faux écrans de mise à jour Windows pour empêcher les victimes d'éteindre leur système pendant que l'accès à distance est établi discrètement en arrière-plan.

Cette tendance plus large met en évidence une tactique croissante parmi les acteurs de la menace : exploiter la légitimité de logiciels bien connus pour masquer leurs opérations, rendant leurs activités plus difficiles à détecter et plus faciles à faire confiance.

Garder une longueur d'avance sur la menace

La campagne SilentRoute souligne l'importance de la vigilance lors du téléchargement de logiciels, notamment d'outils liés à la sécurité et à l'accès à distance. Les utilisateurs et les administrateurs doivent toujours vérifier la source des téléchargements, idéalement en les obtenant directement sur les sites web officiels des fournisseurs plutôt qu'en se fiant aux résultats des moteurs de recherche.

Pour les organisations, il s’agit également d’un signal d’alarme pour renforcer la surveillance des points de terminaison, mettre en œuvre l’épinglage des certificats lorsque cela est possible et envisager des mécanismes de détection basés sur le comportement qui peuvent signaler une activité réseau inhabituelle ou des modifications de fichiers.

Alors que les attaquants deviennent de plus en plus habiles à dissimuler leurs intentions grâce à des canaux fiables, les défenses de cybersécurité doivent évoluer en parallèle. Le cheval de Troie SilentRoute nous rappelle à point nommé que la confiance, notamment dans les logiciels, doit être constamment vérifiée et non présumée.

Par Willa
June 26, 2025
Trojan
Français
June 26, 2025
Trojan

Articles Populaires

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 9 months

Ce qu'il faut retenir de l'arnaque par e-mail « Votre stockage...

Il y a 9 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 9 months

Pris au piège : l'arnaque DocuSign - Document sécurisé reçu...

Il y a 8 months

OneBrowser : les risques potentiels derrière ce programme...

Il y a 11 months

Comprendre F95.zone : comment naviguer parmi les pirates de...

Il y a 12 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.