Negli ultimi tempi è emerso un nuovo e preoccupante scenario nel mondo della sicurezza informatica che coinvolge la diffusione di una versione trojanizzata di SonicWall NetExtender, il noto client VPN utilizzato per accedere in modo sicuro alle reti aziendali. Gruppi di cybercriminali stanno distribuendo un falso installer che, una volta scaricato e installato, permette di sottrarre le credenziali degli utenti e altri dati di configurazione sensibili. Questo attacco sfrutta la fiducia degli utenti che cercano il software originale su motori di ricerca come Google o Bing, reindirizzandoli invece verso siti web malevoli che mimano quelli ufficiali, spesso tramite tecniche di SEO poisoning, spear-phishing, malvertising o post ingannevoli sui social network.

SilentRoute e la falsificazione degli installer

Il payload malevolo, identificato da Microsoft come SilentRoute, si presenta come la versione aggiornata del programma (10.3.2.27) ed è stato distribuito tramite un sito web fraudolento ora chiuso. Il file di installazione reca anche una firma digitale legittima, dettaglio che contribuisce a rendere l’attacco più credibile agli occhi delle vittime. All’interno del pacchetto, i file NeService.exe e NetExtender.exe sono stati modificati per bypassare i controlli di validazione dei certificati digitali e trasmettere dati sensibili – tra cui username, password e dominio – a un server remoto controllato dagli attaccanti attraverso la porta 8080.

Vulnerabilità ConnectWise e Authenticode stuffing

Parallelamente, si sta verificando un aumento di attacchi che sfruttano vulnerabilità di ConnectWise attraverso una tecnica denominata Authenticode stuffing. Questa tecnica consente ai criminali di iniettare codice malevolo senza invalidare la firma digitale del software, facendo sì che il malware venga riconosciuto come affidabile dal sistema operativo. Secondo quanto riportato da G DATA, tali campagne malevole sono in netta crescita dal marzo 2025 e sfruttano soprattutto email di phishing o siti web che si presentano come strumenti di intelligenza artificiale, spesso pubblicizzati su Facebook. Le vittime vengono indotte a scaricare e installare software apparentemente legittimi, che in realtà permettono agli attaccanti di ottenere accesso remoto persistente ai sistemi infetti.

Attacchi sofisticati e ingegneria sociale

Questi attacchi sono particolarmente insidiosi perché sfruttano software di aziende riconosciute, mascherando le attività malevole sotto processi di sistema apparentemente affidabili. Inoltre, vengono adottati stratagemmi come finte schermate di aggiornamenti Windows per scoraggiare l’utente dallo spegnere il computer mentre gli hacker prendono il controllo da remoto. La combinazione di phishing, abuso di firme digitali e tecniche di ingegneria sociale rende queste minacce estremamente difficili da individuare e bloccare, sottolineando ancora una volta l’importanza di una costante attenzione alla sicurezza e di scaricare sempre i software solo dai siti ufficiali dei produttori.