Inicio outros Backdoor é escondido por hackers em software utilizado por empresas em todo...

Backdoor é escondido por hackers em software utilizado por empresas em todo o mundo

Os especialistas da Kaspersky Lab descobriram um backdoor instalado num software de gestão de servidores usado por centenas de grandes empresas em todo o mundo.

Este backdoor permite aos hackers fazerem downloads de códigos maliciosos ou aceder a dados. A Kaspersky alertou a NetSarang, fornecedora do software, que removeu o código malicioso e notificou os seus clientes.

O ShadowPad é um dos mais conhecidos ataques a empresas, que caso não tivesse sido detetado tão rapidamente, poderia ter atingido milhares de organizações em todo o mundo.

No passado mês de julho, a equipa de investigadores da Kaspersky Lab’s Global Research and Analysis (GReAT) foi contactada por um dos seus parceiros – uma instituição financeira. A equipa de segurança desta organização estava preocupada com alguns pedidos suspeitos de DNS ( Domain Name Server) com origem num sistema que envolvia processos de transação financeira.

A investigação que se seguiu mostrou que a fonte destes pedidos era um serviço de gestão de software produzido por uma empresa legitima e utilizado por centenas de empresas ligadas à indústria financeira, educação, telecomunicações, manufatura, energia e transportes. A descoberta mais preocupante foi que o software não deveria agir dessa forma.

A Kaspersky descobriu também que os pedidos suspeitos eram gerados por um código malicioso dentro de uma versão recente do software legítimo. Após a instalação de uma atualização de software infectado, esse modelo começa a enviar questões DNS – queries para domínios específicos (comanda e controla o servidor) a cada 8h. O pedido contém informações básicas sobre o sistema da vítima. Se os atacantes considerassem que o sistema era “interessante”, o servidor responderia e ativaria a plataforma backdoor que, em silêncio, se instalaria dentro do computador afetado, o que permitiria o download e execução de códigos maliciosos.

Após a descoberta, a Kaspersky Lab avisou a NetSarang. A empresa reagiu rapidamente lançando uma nova versão do software sem os códigos maliciosos.

De acordo com o Kasperky Lab Research, até agora, o código malicioso foi ativado em Hong Kong, mas pode estar instalado em muitos outros sistemas no mundo, especialmente se os utilizadores não tiverem instalado a nova versão do softwareafetado.

Ao analisar as técnicas utilizadas pelos atacantes, a equipa da Kaspersky Lab chegou à conclusão de que existem algumas semelhanças entre o PlugX malware variants utilizados pelo Winnti APT, um conhecido grupo chinês de cyberespionagem. No entanto, esta informação não é suficiente para estabelecer uma ligação entre ambos.

O ShadowPad é um exemplo de quão perigoso pode ser um ataque desta natureza. Os hackers têm a possibilidade de acederem a informação e a divulgarem através de um outro software amplamente utilizado. Felizmente, a NetSarang foi rápida e lançou um update. Este caso mostra que as grandes empresas devem contar com soluções avançadas capazes de monitorizar a atividade da rede e detetar anomalias. É através destas soluções que se pode identificar a atividade maliciosa, mesmo em casos em que os atacantes tenham sido sofisticados e colocado os códigos dentro de um software legítimo”, refere Igor Soumenkov, Especialista em Segurança do GReAT.

Os produtos da Kaspersky Lab detetam e protegem contra o malware ShadowPad como “Backdoor.Win32.ShadowPad.a”.

O Laboratório Kaspersky aconselha os utilizadores a fazerem o update imediato da última versão do NetSarang software, na qual o modelo malicioso já foi removido, aconselhando também a verificação dos sistemas DNS. Uma lista de servidores utilizados pelo código malicioso pode ser encontrada na securelist blogpost, bem como mais informação sobre o backdoor.

Gosta da Leak? Contamos consigo! Siga-nos no Google Notícias. Clique aqui e depois em Seguir.

Quer receber notificações gratuitas no seu smartphone ou computador sempre que lançamos um novo artigo? Clique aqui.

Siga-nos no Facebook, Twitter, Instagram! Quer falar connosco? Envie um email para geral@leak.pt.

João Fernandeshttp://www.wintech.pt
Adepto de desportos coletivos e doente pelo “ENORME” Vitória de Setúbal, é um apaixonado pela tecnologia e tudo o que a rodeia. É redator e responsável pelos conteúdos do site Wintech.pt.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

Leia também

Chrome recebe uma grande novidade que os Samsung já têm!

Volta e meia temos de recorrer aos screenshots, ou se preferir, às capturas de ecrã. Tanto por querermos mostrar algo a um amigo ou...

Mega-campanha de troca até 500 Euros para o Galaxy S20 FE!

A Samsung lançou uma campanha promocional junto dos principais revendedores nacionais, que permite a troca do seu smartphone antigo e poupar até 500€ na...

Netflix acaba de aumentar os preços! Portugal será afetado?

A Netflix anunciou um aumento dos preços em dois planos nos Estados Unidos. Esta novidade foi anunciada hoje e afeta sobretudo os subscritores dos...

Google Play Store: tem alguma destas 30 aplicações! Apague já!

As ameaças por vezes conseguem entrar na Play Store. No entanto, por muito rápida que a Google seja a removê-las elas são descarregadas para...

Play Store prepara-se para receber uma grande novidade

A Play Store é uma das aplicações mais importantes que temos num smartphone. Dito isto não é de estranhar que esteja constantemente a receber...