Sikkerhed forskere opdagede, at mange tilslutningsmuligheder produkter fremstillet af NetSarang er inficeret med ShadowPad bagdør. Dette blev gjort i et hackerangreb, som gjorde det muligt for kriminelle at trænge ind i virksomhedens servere og placere ondsindede installatører i stedet for de legitime filer.
NetSarang Produkter inficeret med ShadowPad Backdoor
NetSarang, en af de velkendte softwareudviklere af tilslutningsmuligheder, har vist sig at funktionen farlige malware-inficerede installatører af deres produkter. Sikkerheden hændelse blev rapporteret af en cybersikkerhed selskab, der fremsatte analyse efter nøje gennemgang af programmer downloadet fra deres officielle hjemmeside. Opdagelsen blev gjort efter en af sælgers kunder bemærket en mistænkelig DNS anmodning fra en installeret softwarepakke på deres eget netværk. Undersøgelsen afslører, at flere produkter fremstillet af selskabet er blevet kompromitteret: Xmanager Enterprise 5 (opbygge 1232), Xmanager 5 (opbygge 1045), Xshell 5 (opbygge 1322), Xftp 5 (opbygge 1218) og Xlpd 5 (opbygge 1220).
De sikkerhedseksperter og efterforskerne mener, at de kriminelle bag de infektioner har været i stand til at få adgang til download-servere og ændre kildekoden af build tjenester eller udskifte installatører med deres egne versioner. De ondsindede filer blev udgivet på juli 18 mens opdagelsen blev gjort flere uger senere på August 4. Kaspersky Labs viser, at malware kun blev aktiveret på systemer, der ejes af et selskab i Hongkong tyder på, at virus-koden kan anvendes mod mål kun. Det er muligt, at andre virksomheder er blevet påvirket af den malware samt. Heldigvis da de anti-virus selskaber nu er advaret om truslen er det nemt at fjerne både aktive og passive infektioner.
Virkningen af ShadowPad Backdoor
Den ShadowPad bagdør er et modulopbygget malware, der er designet til at inficere ofrene i to trin:
- Den første fase indlejrer shellcode i en legitim proces kaldet “nssock2.dll”. Dette initierer netværksforbindelse til hacker-kontrollerede C&C-servere. Durign denne fase følsomme oplysninger indsamles fra computeren offer og videresendes til de kriminelle.
- Det næste skridt er at engagere den indbyggede ShadowPad bagdør motor. De indsamlede prøver har evnen til at aktivere fem forskellige moduler, der er udstyret en modulær arkitektur. Det betyder, at det er muligt at indlæse ekstra plugins, hvis det kræves.
Alle netværksforbindelser er krypteret ved hjælp af en privat nøgle, som gør det meget svært for administratorer at opdage infektioner på deres netværk. Da dette er et sofistikeret bagdør det gør det muligt for kriminelle at udføre flere ondsindede handlinger på inficerede maskiner:
- Information Høst - Ved forespørgsel hackere kan starte en data høst proces, der er i stand til at hente en liste over alle hardwarekomponenter, software konfigurationsfiler eller brugerdata. Dette omfatter følgende: data og tid, hukommelse status, CPU-frekvens, ledig diskplads, videotilstand, systemindstillinger regionale indstillinger, PID af processer, operativsystemets version, brugernavne og domænenavn.
- DNS-modul - ShadowPad bagdør er i stand til at kommunikere med C&C servere ved hjælp af DNS-protokollen.
- data Kapring - Den ShadowPad bagdør er i stand til at stjæle følsomme brugerfiler fra inficerede maskiner. Når private data bliver kapret fra ofrene den medfølgende oplysninger kan bruges til kriminelle formål, såsom økonomisk misbrug eller identitetstyveri.
- Virus infektioner - Den bagdør kan bruges som en nyttelast dropper til andre trusler. Infektioner med det kan føre til farlige infektioner.
- Netværk Formering - Fjernbetjeningen kapaciteter tillader hackere til at inficere andre værter placeret på det samme netværk ved at udnytte fundet svagheder.
Som et resultat af bagdøren gør det muligt for hackere at uploade malware filer til de kompromitterede kunder og binde dem til kørende processer eller nye tråde. Alt dette kan gøres på en VFS (virtuelt filsystem) der er indeholdt i Windows-registreringsdatabasen. Takket være krypteringsmodul malware handlinger kan ikke effektivt opdaget af de fleste anti-virus utilities. Dette er grunden til, at vi anbefaler brugen af en kvalitet, anti-spyware produkt, som er i stand til at effektivt opdage indkommende prøver og slette aktive infektioner med et par museklik.
Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: