Addictware | Noticias de Tecnología - ShadowPad, la puerta trasera de software

NetSarang sobre logró eliminar el código malicioso de su software y emitió una actualización a sus clientes.

Kaspersky Lab descubrió una puerta trasera, llamada ShadowPad, plantada en un software para el control de servidores que emplean cientos de grandes empresas en el mundo. Al activarse, la puerta trasera permite a los hackers descargar más módulos maliciosos o robar datos. Al respecto, Kaspersky Lab ya alertado al proveedor NetSarang sobre el software afectado, quien también ya eliminó rápidamente el código malicioso y emitió una actualización a sus clientes.

ShadowPad es uno de los mayores ataques conocidos de cadena de suministro, de manera que si no hubiera sido detectado y reparado rápidamente, podría haberse dirigido a cientos de organizaciones. Kaspersky modulo malicioso

En julio de 2017, el equipo de Investigación y Análisis Global (GReAT) de Kaspersky Lab fue contactado por uno de sus socios, una institución financiera, quienes estaban preocupados por unas solicitudes sospechosas de DNS (servidor de nombres de dominio) originadas en un sistema que intervenía en el proceso de transacciones financieras. Se descubrió que la fuente de estas solicitudes era un software de control de servidores producido por una compañía legítima y utilizado por cientos de clientes en industrias como las de servicios financieros, educación, telecomunicaciones, manufactura, energía y transporte. Lo destacado es que el proveedor del software no tenía intenciones de que el software realizara esas solicitudes.

Las solicitudes sospechosas eran resultado de la actividad de un módulo malicioso oculto dentro de una versión reciente del software legítimo. Después de la instalación de una actualización de software infectada, el módulo comenzaría a enviar peticiones de DNS a dominios específicos (su servidor de mando y control) con una frecuencia de una vez cada ocho horas. La solicitud contendría información básica sobre el sistema de la víctima. Si los atacantes consideraban que el sistema era "interesante", el servidor de mando respondería y activaría una plataforma de puerta trasera completa que se desplegaría silenciosamente dentro de la computadora atacada. La plataforma de puerta trasera sería capaz de descargar y ejecutar código malicioso adicional.

El módulo malicioso se ha activado en Hong Kong, y el software troyanizado fue detectado en varios países de América Latina, incluyendo Brasil, Chile, Colombia, México y Perú, aunque el módulo malicioso podría estar latente en otros sistemas en el mundo.

Igor Soumenkov, experto en seguridad, Equipo de Investigación y Análisis Global, Kaspersky Lab, explicó que ShadowPad es un ejemplo de lo peligroso y extenso que puede ser un ataque exitoso en la cadena de suministro. “Este caso muestra que las grandes empresas deben confiar en soluciones avanzadas capaces de vigilar la actividad de la red y detectar anomalías. Es aquí donde usted puede detectar la actividad maliciosa, incluso si los atacantes fueran lo suficientemente avanzados como para ocultar su malware dentro de un software legítimo".