Cibercriminosos conseguiram se infiltrar no mecanismo de atualização de software de gerenciamento de servidores e alteraram-no para incluir um backdoor avançado, que dura pelo menos 17 dias até que sejam descobertos.
Os cibercriminosos estão se tornando mais adeptos, inovadores e sigilosos a cada dia que passa. Eles agora estão adotando mais técnicas clandestinas que vêm com vetores de ataque ilimitados e são mais difíceis de detectar.
Dubbed ShadowPad , o backdoor secretamente deu aos atacantes controle completo, durante 17 dias, sobre as redes escondidas por trás do legitimo software assinado criptograficamente vendido pela NetSarang – usado por centenas de bancos, empresas de mídia, empresas de energia e empresas farmacêuticas, provedores de telecomunicações, transporte e logística e outras indústrias .
Segundo pesquisadores da Kaspersky Labs, que descobriram a backdoor, um hacker teria conseguido infiltrar-se no mecanismo de atualização do NetSarang e inserido silenciosamente a backdoor no processo de atualização do software, de forma que o código malicioso não fosse identificado pois estaria sendo identificado como sofwtare legítimo da NetSarang.
“O ShadowPad é um exemplo dos perigos colocados por um ataque bem sucedido na cadeia de suprimentos“, disseram pesquisadores da Kaspersky
O backdoor secreto estava localizado na biblioteca nssock2.dll nas suítes de software Xmanager e Xshell da NetSarang que entraram no site NetSarang em 18 de julho.
No entanto, os pesquisadores da Kaspersky Labs descobriram o backdoor e informaram de forma privada a empresa em 4 de agosto, e a NetSarang imediatamente tomou medidas, retirando o pacote de software comprometido de seu site e substituindo-o por uma versão anterior limpa.
Em seu site, a NetSarang informa como atualizar o produto de forma a eliminar o código malicioso.
Segundo a NetSarang, os provedores de antivírus foram informados e devem ter distribuído a vacina de forma a quarentenar/deletar aos arquivos infectados, mas neste caso você pode não ser capaz de rodar o software e precisará atualizar manualmente para reconstruir os módulos afetados.
fonte The Hacker News & NetSarang por MindSec 17/08/2017
Deixe sua opinião!