I ricercatori di sicurezza hanno scoperto che molti prodotti di connettività realizzati da NetSarang sono infettati con il backdoor ShadowPad. Ciò è stato fatto in un attacco hacker che ha consentito ai criminali di sconfinare nel server della società e luogo installatori dannosi al posto dei file legittimi.
Prodotti NetSarang infettati con lo ShadowPad Backdoor
NetSarang, uno degli sviluppatori di software ben noti di soluzioni di connettività, è stato trovato per caratterizzare pericolose installatori infetti per dei loro prodotti. L'incidente di sicurezza è stato segnalato da una società di sicurezza informatica che ha fatto l'analisi dopo aver esaminato con attenzione le applicazioni scaricate dal loro sito ufficiale. La scoperta è stata fatta dopo che uno dei clienti del fornitore notato una richiesta DNS sospetto proveniente da un pacchetto software installato sulla propria rete. L'indagine rivela che diversi prodotti realizzati dalla società sono stati compromessi: Xmanager Enterprise 5 (costruire 1232), Xmanager 5 (costruire 1045), Xshell 5 (costruire 1322), XFTP 5 (costruire 1218) e Xlpd 5 (costruire 1220).
Gli esperti di sicurezza e gli investigatori ritengono che i criminali dietro le infezioni sono stati in grado di accedere ai server di download e modificare il codice sorgente dei servizi di compilazione o sostituire gli installatori con le loro versioni. I file maligni sono stati rilasciati nel luglio 18 mentre la scoperta è stata fatta alcune settimane più tardi agosto 4. Kaspersky Labs rivelano che il malware è stato attivato solo su sistemi di proprietà di una società di Hong Kong che suggeriscono che il codice del virus può essere usato contro bersagli solo. E 'possibile che altre aziende sono state colpite dal malware, nonché. Per fortuna, come i produttori di antivirus sono ora avvisati della minaccia è facile da rimuovere entrambe le infezioni attive e dormienti.
Impatto della ShadowPad Backdoor
La backdoor ShadowPad è un malware modulare che è stato progettato per infettare le vittime in due fasi:
- La prima fase incorpora lo shellcode in un legittimo processo chiamato “nssock2.dll”. Questo avvia la connessione di rete per l'hacker controllato C&Server C. Durign questa fase le informazioni sensibili vengono raccolti dal computer vittima e viene trasmessa ai criminali.
- Il passo successivo è quello di impegnare il built-in ShadowPad motore backdoor. I campioni raccolti hanno la capacità di attivare cinque diversi moduli che presentano un'architettura modulare. Ciò significa che è possibile caricare plugin aggiuntivi se necessario.
Tutte le connessioni di rete sono crittografati utilizzando una chiave privata che lo rendono molto difficile per gli amministratori di scoprire infezioni sulle loro reti. Poiché si tratta di una backdoor sofisticato permette ai criminali di eseguire diverse azioni dannose sui computer compromessi:
- La raccolta dati - A richiesta gli hacker possono avviare un processo di raccolta dei dati che è in grado di scaricare un elenco di tutti i componenti hardware, i file di configurazione software o dati degli utenti. Questo include il seguente: dati e l'ora, stato della memoria, frequenza della CPU, spazio libero su disco, modalità video, sistema di impostazioni internazionali, PID dei processi, versione del sistema operativo, nomi utente e nome di dominio.
- Modulo DNS - ShadowPad backdoor è in grado di comunicare con il C&server C che utilizzano il protocollo DNS.
- dati Hijacking - Lo ShadowPad backdoor è in grado di rubare i file sensibili degli utenti dalle macchine compromesse. Quando i dati privati viene dirottato dalle vittime le informazioni fornite possono essere utilizzate per scopi criminali come l'abuso finanziario o il furto di identità.
- Infezioni da virus - La backdoor può essere usato come un contagocce carico utile per altre minacce. Le infezioni da esso possono portare a infezioni pericolose.
- Propagazione di rete - Le funzionalità di controllo remoto consentono agli hacker di infettare altri host si trovano sulla stessa rete sfruttando carenze riscontrate.
Di conseguenza, il backdoor permette agli hacker di caricare i file di malware ai clienti compromessi e li legano a processi in esecuzione o nuove discussioni. Tutto questo può essere fatto in un VFS (file system virtuale) ciò che è contenuto nel Registro di sistema di Windows. Grazie alla crittografia modulo le azioni del malware non può essere efficacemente scoperto dalla maggior parte dei programmi di utilità anti-virus. Questo è il motivo per cui si consiglia l'uso di un prodotto di qualità anti-spyware che è in grado di efficacemente rilevare campioni ricevuti e eliminare infezioni attive con pochi clic del mouse.
Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter