Accueil > Nouvelles Cyber > NetSarang Apps Riddled with ShadowPad Backdoor
CYBER NOUVELLES

NetSarang Apps Criblé ShadowPad Backdoor

l'image ShadowPad Backdoor

Les chercheurs en sécurité ont découvert que de nombreux produits de connectivité réalisés par NetSarang sont infectés par la porte dérobée ShadowPad. Cela a été fait dans une attaque de hacker qui a permis aux criminels de empiètent sur les serveurs de l'entreprise et placent les installateurs malveillants à la place des fichiers légitimes.

histoire connexes: Les réseaux internes touchés par autopropage Emotet cheval de Troie

NetSarang Produits infectés par le ShadowPad Backdoor

NetSarang, l'un des développeurs de logiciels bien connus de solutions de connectivité, a été trouvé en vedette installateurs infectés par des logiciels malveillants dangereux de leurs produits. L'incident de sécurité a été signalé par une société de sécurité cybernétique qui a fait l'analyse après avoir examiné attentivement les applications téléchargées depuis leur site officiel. La découverte a été faite après l'un des clients du fournisseur remarqué une requête DNS suspect provenant d'un logiciel installé sur leur propre réseau. L'enquête révèle que plusieurs produits fabriqués par la société ont été compromis: entreprise Xmanager 5 (construire 1232), Xmanager 5 (construire 1045), xShell 5 (construire 1322), xftp 5 (construire 1218) et XLPD 5 (construire 1220).

Les experts en sécurité et les enquêteurs pensent que les criminels derrière les infections ont été en mesure d'accéder aux serveurs de téléchargement et modifier le code source des services de construction ou de remplacer les installateurs avec leurs propres versions. Les fichiers malveillants ont été libérés en Juillet 18 alors que la découverte a été faite quelques semaines plus tard en Août 4. Kaspersky Labs révèlent que le malware a été activé que sur les systèmes appartenant à une société à Hong Kong suggérant que le code du virus peut être utilisé contre des cibles uniquement. Il est possible que d'autres entreprises ont été touchées par les logiciels malveillants et. Heureusement que les sociétés anti-virus sont maintenant alertés de la menace, il est facile d'éliminer les infections actives et dormantes.

histoire connexes: À grande échelle Mamba Ransomware Attaques à nouveau en hausse

Impact de la ShadowPad Backdoor

La porte dérobée ShadowPad est un malware modulaire qui est conçu pour infecter les victimes en deux étapes:

  1. La première étape intègre le shellcode dans un processus légitime appelé “nssock2.dll”. Cela déclenche la connexion de réseau à l'extrémité C-contrôlée contre le piratage&serveurs de C. Durign ce stade des informations sensibles sont collectées à partir de l'ordinateur de la victime et est relayée aux criminels.
  2. L'étape suivante consiste à engager le moteur de porte dérobée ShadowPad intégré. Les échantillons recueillis ont la possibilité d'activer cinq modules différents qui disposent d'une architecture modulaire. Cela signifie qu'il est possible de charger des plugins supplémentaires si nécessaire.

Toutes les connexions réseau sont cryptées à l'aide d'une clé privée qui rend très difficile pour les administrateurs de découvrir les infections sur leurs réseaux. Comme il est une porte dérobée sophistiquée permet aux criminels d'effectuer plusieurs actions malveillantes sur les machines compromises:

  • Collecte d'informations - Sur demande les pirates peuvent lancer un processus de récolte de données qui est en mesure de télécharger une liste de tous les composants matériels, les fichiers de configuration du logiciel ou des données d'utilisateur. Cela comprend les éléments suivants: les données et le temps, état de la mémoire, fréquence CPU, espace disque libre, mode vidéo, les paramètres régionaux du système, PID du processus, la version du système d'exploitation, les noms d'utilisateur et le nom de domaine.
  • DNS Module - porte dérobée ShadowPad est capable de communiquer avec le C&serveurs C en utilisant le protocole DNS.
  • Les données Détournement - La porte dérobée ShadowPad est capable de voler les fichiers utilisateur sensibles des machines compromises. Lorsque les données privées sont pris en otage des victimes les informations fournies peuvent être utilisées à des fins criminelles comme l'abus financier ou le vol d'identité.
  • Infections à virus - La porte dérobée peut être utilisé comme un compte-gouttes de charge utile pour d'autres menaces. Les infections avec elle peut conduire à des infections dangereuses.
  • La propagation du réseau - Les capacités de contrôle à distance permettent aux pirates d'infecter d'autres hôtes situés sur le même réseau en exploitant les faiblesses trouvées.

En conséquence, la porte dérobée permet aux pirates de télécharger des fichiers malveillants aux clients et les lier compromis à des processus ou de nouveaux threads en cours d'exécution. Tout cela peut être fait dans un VFS (système de fichiers virtuel) qui est contenu dans le registre Windows. Merci au cryptage module, les actions de malware ne peut pas être efficacement découvert par la plupart des utilitaires anti-virus. Ceci est la raison pour laquelle nous recommandons l'utilisation d'un produit anti-spyware de qualité qui est capable de détecter efficacement les échantillons entrants et supprimer les infections actives en quelques clics de souris.

Télécharger

Malware Removal Tool


Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...