Sicherheits Forscher entdeckten, dass viele Konnektivitätsprodukte von NetSarang infiziert sind mit dem ShadowPad Backdoor. Dies wurde in einem Hacker-Angriff durchgeführt, die die Kriminellen erlaubt, in die Server des Unternehmens eindringen und bösartige Installateure an der Stelle der legitimen Dateien platzieren.
NetSarang Produkte Infizierte mit dem ShadowPad Backdoor
NetSarang, einer der bekannten Software-Entwickler von Konnektivitätslösungen, wurde verfügen über gefährliche Malware-infizierten Installateure ihrer Produkte gefunden. Die Sicherheit Vorfall wurde von einem Cyber-Unternehmen berichtet, die die Analyse, die nach sorgfältig den Anwendungen von der offiziellen Website heruntergeladen bewerten. Die Entdeckung wurde gemacht, nachdem einer der Anbieter den Kunden eine verdächtige DNS-Anfrage von einem installierten Softwarepaket in ihrem eigenen Netz kommen bemerkt. Die Untersuchung zeigt, dass mehrere Produkte von der Firma kompromittiert wurden: Xmanager Unternehmen 5 (bauen 1232), Xmanager 5 (bauen 1045), Xshell 5 (bauen 1322), Xftp 5 (bauen 1218) und Xlpd 5 (bauen 1220).
Die Sicherheitsexperten und die Forscher glauben, dass die Kriminellen hinter den Infektionen der Lage waren, auf den Download-Server für den Zugriff auf und den Quellcode der Build-Dienste oder ersetzen die Installateure mit ihren eigenen Versionen ändern. Die schädlichen Dateien wurden am Juli veröffentlicht 18 während wurde die Entdeckung einige Wochen später am August gemacht 4. Kaspersky Labs zeigen, dass die Malware nur von einer Firma in Hong Kong im Besitz auf Systemen aktiviert wurden darauf hindeutet, dass der Virus-Code kann gegen Ziele nur verwendet werden,. Es ist möglich, dass andere Unternehmen von der Malware als auch betroffen. Zum Glück, wie die Anti-Virus-Unternehmen jetzt die Bedrohung aufmerksam gemacht werden, ist es einfach, beide aktive und ruhende Infektion zu entfernen.
Auswirkungen des ShadowPad Backdoor
Der ShadowPad backdoor ist ein modulares Malware, die ausgelegt ist, um die Opfer in zwei Stufen zu infizieren:
- Die erste Stufe bettet den Shellcode in ein rechtmäßiges Verfahren genannt “nssock2.dll”. Dies leitet die Netzwerkverbindung an den Hacker-gesteuerte C&C-Server. Durign dieses Stadium sensible Informationen aus dem Opfer Computer gesammelt und an die Kriminellen weitergeleitet.
- Der nächste Schritt ist die engagieren eingebaute in ShadowPad Backdoor-Motor. Die gesammelten Proben haben die Möglichkeit, fünf verschiedene Module zu aktivieren, die eine modulare Architektur verfügen. Das bedeutet, dass es möglich ist, zusätzlichen Plugins zu laden, falls erforderlich.
Alle Netzwerkverbindungen werden verschlüsselt mit einem privaten Schlüssel, die es sehr schwer machen für Administratoren Infektionen in ihren Netzwerken zu entdecken. Da dies eine anspruchsvolle Backdoor ist erlaubt es die Kriminellen mehr schädlichen Aktionen auf dem angegriffenen Rechner auszuführen:
- Informationen Harvesting - Auf Wunsch kann der Hacker einen Datenernteprozess initiieren, die eine Liste aller Hardware-Komponenten zum Download in der Lage,, Software-Konfigurationsdateien oder Benutzerdaten. Dazu gehören die folgenden: Datum und Uhrzeit, Speicherstatus, CPU-Frequenz, freier Speicherplatz, Video Modus, System Ländereinstellungen, PID von Prozessen, Betriebssystem-Version, Benutzernamen und Domainnamen.
- DNS-Modul - ShadowPad Hintertür ist in der Lage mit dem C zu kommunizieren&C-Server des DNS-Protokoll.
- Daten-Hijacking - Der ShadowPad Backdoor ist in der Lage sensible Benutzerdateien von den infizierten Rechnern zu stehlen. Wenn private Daten von den Opfern entführt wird die gelieferten Informationen können für kriminelle Zwecke wie finanzieller Missbrauch oder Identitätsdiebstahl verwendet werden.
- Virus-Infektionen - Die Backdoor kann als Nutzlast Tropfer für andere Bedrohungen verwendet werden. Infektionen mit ihm kann zu gefährlichen Infektionen führen.
- Netzwerk-Propagation - Die Fernsteuerungsfunktionen ermöglichen es den Hackern andere Hosts im gleichen Netzwerk befinden zu infizieren, indem festgestellten Schwachstellen ausnutzt.
Als Ergebnis kann die Backdoor, die Hackern Malware-Dateien auf die kompromittierten Kunden laden und sie zu laufenden Prozessen oder neue Themen binden. Dies alles kann in einem VFS erfolgen (virtuelles Dateisystem) dass in der Windows-Registrierung enthält. Durch die Verschlüsselung der Malware-Aktionen Modul kann nicht effektiv von den meisten anti-virus utilities entdeckt werden. Dies ist der Grund, warum wir die Verwendung eines hochwertigen Anti-Spyware-Produkt empfehlen die in der Lage ist, effektiv eingehende Proben erkennen und aktive Infektionen mit wenigen Mausklicks löschen.
Spy Hunter Scanner nur die Bedrohung erkennen. Wenn Sie wollen, dass die Bedrohung automatisch entfernt wird, Müssen sie die vollversion des anti-malware tools kaufen.Erfahren Sie mehr über SpyHunter Anti-Malware-Tool / Wie SpyHunter Deinstallieren