¿Pensabas que una VPN te protegía? ¡Te equivocas! Hackers crean una copia perfecta que roba tus secretos

Desconocidos delincuentes han comenzado a distribuir una aplicación falsa de SonicWall, mediante la cual roban credenciales de acceso a VPN. El ataque fue detectado por especialistas de SonicWall y Microsoft, quienes registraron intentos de difusión de una versión modificada del programa NetExtender, que se hace pasar por la aplicación oficial de SonicWall.

Según las empresas, los estafadores prepararon un instalador modificado de NetExtender versión 10.3.2.27. Visualmente, copiaba por completo la aplicación original, lo que facilitaba engañar a los usuarios. Sin embargo, la principal diferencia era la firma digital: fue falsificada, indicando una organización ficticia llamada «CITYLIGHT MEDIA PRIVATE LIMITED». El sitio web para descargar este software malicioso también era falso y visualmente se parecía al recurso oficial de SonicWall.

Al ingresar en dicho sitio falso, los usuarios descargaban no la aplicación legítima para conexiones seguras, sino una versión maliciosa. Tras la instalación, el programa robaba silenciosamente los datos de configuración de la VPN —inicios de sesión, contraseñas, dominios y otra información— y los enviaba a un servidor remoto controlado por los atacantes.

Dentro del instalador modificado, se alteraron dos archivos clave: NeService.exe y NetExtender.exe. El primero, en su versión original, verifica la firma digital y lanza la aplicación solo tras una comprobación exitosa. Sin embargo, los hackers desactivaron este mecanismo para que el programa se ejecutara incluso sin una firma válida. El segundo archivo, NetExtender.exe, fue complementado con código malicioso para transmitir los datos robados a un servidor externo con la dirección IP 132.196.198.163 a través del puerto 8080.

Aunque los sitios maliciosos fueron desactivados rápidamente y el certificado falso revocado, la situación sigue siendo peligrosa. Como advierten los especialistas, a los delincuentes no les cuesta crear nuevos dominios falsos y difundir las copias maliciosas nuevamente. Este tipo de ataques es especialmente peligroso para los usuarios corporativos de SonicWall, ya que las credenciales robadas permiten a los atacantes acceder directamente a redes protegidas, sin necesidad de vulnerar dispositivos o explotar vulnerabilidades.

Los dispositivos y servicios de SonicWall llevan muchos años en el punto de mira tanto de cibercriminales como de grupos de espionaje. Se han registrado en múltiples ocasiones casos de ataques mediante software espía, intrusiones y robo de información confidencial a través de dispositivos SonicWall .. El nuevo esquema con el NetExtender falso permite eludir la mayoría de los mecanismos de defensa, ya que los atacantes acceden de forma oficial mediante cuentas legítimas pero robadas.

Los representantes de SonicWall aún no han revelado detalles sobre el alcance del ataque ni la cantidad de víctimas. No obstante, el incidente sirve como recordatorio de la importancia de descargar aplicaciones solo desde los sitios web oficiales de los fabricantes. Incluso las herramientas habituales de protección y cifrado pueden convertirse en una amenaza si se descargan de fuentes no confiables.