Ataque ShadowPad foi detectado no Brasil, Chile, Colômbia, México e Peru

0

Os especialistas da Kaspersky Lab descobriram um backdoor plantado em um software de gerenciamento de servidores usado por centenas de grandes empresas em todo o mundo. Quando ativado, o backdoor permite que invasores baixem outros módulos maliciosos ou roubem dados. A empresa avisou a NetSarang, fornecedora do software afetado, que rapidamente removeu o código malicioso e lançou uma atualização para os clientes.

O ShadowPad é um dos maiores ataques em cadeia de fornecedores conhecidos. Se não tivesse sido detectado e corrigido tão rapidamente, é possível que tivesse afetado centenas de organizações no mundo todo.

Em julho de 2017, a Equipe de Pesquisa e Análise Global da Kaspersky Lab (GReAT) foi abordada por um de seus parceiros do setor financeiro. Os especialistas em segurança da organização estavam preocupados com solicitações DNS (servidor de nomes de domínio) suspeitas originadas em um sistema envolvido no processamento de transações financeiras.

Investigações aprofundadas mostraram que a fonte dessas solicitações era o software de gerenciamento de servidores produzido por uma empresa legítima e usado por centenas de clientes de setores como serviços financeiros, educação, telecomunicações, fabricação, energia e transportes. O mais preocupante era o fato de que o fornecedor não queria que o software fizesse essas solicitações.

A análise mostrou que as solicitações suspeitas eram, na verdade, resultado da atividade de um módulo malicioso oculto em uma versão recente do software legítimo. Após a instalação de uma atualização infectada do software, o módulo malicioso iniciaria o envio de consultas DNS a domínios específicos (para seu servidor de comando e controle) uma vez a cada oito horas.

A solicitação conteria informações básicas sobre o sistema da vítima. Se os invasores considerassem o sistema como "interessante", o servidor de comando responderia e ativaria uma plataforma backdoor com todos os recursos, que se implementaria silenciosamente no computador atacado. Depois disso, sob comando dos invasores, a plataforma backdoor conseguiria baixar e executar outros códigos maliciosos.

Logo após a descoberta, os pesquisadores da Kaspersky Lab entraram em contato com a NetSarang. A empresa reagiu rapidamente e lançou uma versão atualizada do software sem o código malicioso.

Até agora, de acordo com pesquisa da Kaspersky Lab, o módulo malicioso foi ativado em Hong Kong, enquanto o software Trojanizado foi detectado em vários países da América Latina, incluindo o Brasil, Chile, Colômbia, México e Peru. No entanto, o módulo malicioso pode ser latente em muitos outros sistemas em todo o mundo, especialmente se os usuários não tiverem instalado a versão atualizada do software afetado.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.