Casa > Ciber Noticias > Aplicaciones NetSarang acribilladas con ShadowPad Backdoor
CYBER NOTICIAS

NetSarang Aplicaciones Riddled con ShadowPad Backdoor

ShadowPad imagen Backdoor

Los investigadores de seguridad descubrieron que muchos productos de conectividad hechas por NetSarang están infectadas con la puerta trasera ShadowPad. Esto se hizo en un ataque de hackers que permitió a los criminales de entrometerse en los servidores de la empresa y el lugar instaladores maliciosos en el lugar de los archivos legítimos.

Artículo relacionado: Las redes internas Afectados Por propaga por sí mismo Emotet de Troya

NetSarang los productos infectados con el ShadowPad Backdoor

NetSarang, uno de los desarrolladores de software conocidas de soluciones de conectividad, se ha encontrado que cuentan peligrosos instaladores infectados con malware de sus productos. El incidente de seguridad fue reportado por una empresa de seguridad cibernética que hizo el análisis después de revisar cuidadosamente las aplicaciones descargadas desde su sitio oficial. El hallazgo se produjo después de que uno de los clientes del proveedor notado una petición DNS sospechoso procedente de un paquete de software instalado en su propia red. La investigación revela que varios productos fabricados por la empresa han sido comprometidos: Xmanager Empresa 5 (construir 1232), Xmanager 5 (construir 1045), Xshell 5 (construir 1322), Xftp 5 (construir 1218) y Xlpd 5 (construir 1220).

Los expertos en seguridad y los investigadores creen que los criminales detrás de las infecciones han sido capaces de acceder a los servidores de descarga y modificar el código fuente de los servicios de construcción o reemplazar los instaladores con sus propias versiones. Los archivos maliciosos fueron liberados de julio 18 mientras que el descubrimiento se hizo varias semanas después de agosto 4. Kaspersky Labs revela que el malware se activa sólo en los sistemas de propiedad de una empresa en Hong Kong que sugieren que el código del virus se puede utilizar solamente contra objetivos. Es posible que otras compañías se han visto afectadas por el software malicioso, así. Afortunadamente como las compañías de antivirus están alertas a la amenaza que es fácil de quitar ambas infecciones activos e inactivos.

Artículo relacionado: -Large Scale Ataques Mamba ransomware aumentando de nuevo

Impacto de la puerta trasera ShadowPad

La puerta trasera ShadowPad es un malware modular que está diseñado para infectar a las víctimas en dos etapas:

  1. La primera etapa incrusta el código shell en un proceso llamado legítima “nssock2.dll”. Esto inicia la conexión de red a la C pirata informático controlado&Servidores C. Durign esta etapa la información sensible se obtiene de la computadora de la víctima y se retransmite a los criminales.
  2. El siguiente paso es involucrar a la incorporada en el ShadowPad motor de puerta trasera. Las muestras recogidas tienen la capacidad de activar cinco módulos diferentes que cuentan con una arquitectura modular. Esto significa que es posible cargar plugins adicionales, si es necesario.

Todas las conexiones de red se cifran utilizando una clave privada que hacen que sea muy difícil para los administradores a descubrir infecciones en sus redes. Como se trata de una puerta trasera sofisticada que permite a los criminales para llevar a cabo varias acciones maliciosas en las máquinas comprometidas:

  • La recolección de información - Por solicitud de los piratas informáticos pueden iniciar un proceso de recolección de datos que es capaz de descargar una lista de todos los componentes de hardware, los archivos de configuración de software o datos de usuario. Esto incluye la siguiente: los datos y la hora, estado de la memoria, frecuencia de la CPU, espacio libre en disco, modo de vídeo, la configuración regional del sistema, PID de los procesos, versión del sistema operativo, nombres de usuario y nombre de dominio.
  • Módulo de DNS - ShadowPad puerta trasera es capaz de comunicarse con la C&servidores C utilizando el protocolo DNS.
  • Secuestro de datos - El ShadowPad puerta trasera es capaz de robar archivos confidenciales del usuario de las máquinas comprometidas. Cuando los datos privados es secuestrado de las víctimas la información suministrada puede ser usada para fines criminales como abuso financiero o robo de identidad.
  • Las infecciones de virus - La puerta trasera se puede utilizar como un gotero de carga útil para otras amenazas. Las infecciones con que pueden conducir a infecciones peligrosas.
  • Propagación de la red - Las capacidades de control remoto permiten a los hackers para infectar otros ordenadores que se encuentren en la misma red, explotando debilidades encontradas.

Como resultado, la puerta trasera permite a los piratas informáticos para cargar los archivos de malware a los clientes comprometidos y se unen a los procesos en ejecución o nuevos temas. Todo esto se puede hacer en un VFS (sistema de archivos virtual) que está contenida en el registro de Windows. Gracias al módulo de cifrado de las acciones de malware no puede ser descubierto de manera efectiva por la mayoría de las utilidades anti-virus. Esta es la razón por la cual se recomienda el uso de un producto de calidad anti-spyware que es capaz de efectivamente detectar muestras entrantes y eliminar las infecciones activas con unos pocos clics del ratón.

Descargar

Herramienta de eliminación de software malintencionado


Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter

Martin Beltov

Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo