Beveiliging onderzoekers ontdekten dat veel connectivity producten gemaakt door NetSarang zijn besmet met de ShadowPad backdoor. Dit werd gedaan in een hacker aanval waardoor de criminelen binnen te dringen in servers van het bedrijf en plaats kwaadaardige installateurs in de plaats van de legitieme bestanden.
NetSarang producten besmet zijn met het ShadowPad Backdoor
NetSarang, een van de bekende software-ontwikkelaars van connectivity-oplossingen, is gevonden om gevaarlijke malware besmet installateurs van hun producten zijn voorzien van. De security incident werd gemeld door een cybersecurity bedrijf dat de analyse die na een zorgvuldige beoordeling van de aanvragen gedownload van hun officiële website. De ontdekking werd gedaan na een van de klanten van de leverancier een verdachte DNS-aanvraag afkomstig van een geïnstalleerd softwarepakket op hun eigen netwerk merkte. Uit het onderzoek blijkt dat een aantal producten van het bedrijf zijn gecompromitteerd: Xmanager Enterprise 5 (bouwen 1232), Xmanager 5 (bouwen 1045), Xshell 5 (bouwen 1322), XFTP 5 (bouwen 1218) en Xlpd 5 (bouwen 1220).
De security experts en de onderzoekers zijn van mening dat de criminelen achter de infecties in staat zijn om toegang te krijgen tot de download servers en de broncode van de build diensten wijzigen of te vervangen de installateurs met hun eigen versies zijn geweest. De schadelijke bestanden zijn uitgebracht op juli 18 terwijl de ontdekking enkele weken later werd gemaakt op augustus 4. Kaspersky Labs blijkt dat de malware alleen op systemen die eigendom zijn van een bedrijf in Hong Kong, wat erop wijst dat het virus code kan worden gebruikt tegen doelen werd alleen geactiveerd. Het is mogelijk dat andere bedrijven zijn getroffen door de malware ook. Gelukkig is de anti-virus bedrijven nu gewaarschuwd voor de dreiging is het gemakkelijk om zowel actieve als latente infecties te verwijderen.
Impact van de ShadowPad Backdoor
De ShadowPad achterdeur is een modulair malware die is ontworpen om de slachtoffers te infecteren in twee fasen:
- De eerste trap sluit de commandoregelcode een rechtmatig proces genaamd “nssock2.dll”. Dit initieert de netwerkverbinding naar de hacker gecontroleerde C&C-servers. Durign dit stadium gevoelige informatie wordt verzameld van het slachtoffer computer en wordt doorgegeven aan de criminelen.
- De volgende stap bestaat erin samen de ingebouwde ShadowPad achterdeur engine. De verzamelde monsters hebben de mogelijkheid om vijf verschillende modules, dat een modulaire architectuur activeren. Dit betekent dat het mogelijk is om extra plugins geladen als nodig.
Alle netwerkverbindingen zijn versleuteld met een private sleutel die het erg moeilijk maken voor beheerders om infecties op hun netwerken te ontdekken. Aangezien dit is een geavanceerde backdoor laat het de criminelen om verschillende kwaadaardige acties uit te voeren op de besmette machines:
- informatie Oogsten - Op verzoek van de hackers kan een data harvesting proces dat in staat is om een lijst van alle hardware componenten downloaden te starten, softwareconfiguratiebestanden of gebruikersgegevens. Dit omvat de volgende: data en tijd, Geheugenstatus, CPU-frequentie, vrije schijfruimte, videomodus, systeem landinstellingen, PID van de processen, versie van het besturingssysteem, gebruikersnamen en domeinnaam.
- DNS Module - ShadowPad backdoor is in staat om te communiceren met de C&C configureren met de DNS protocol.
- gegevens Hijacking - De ShadowPad backdoor is in staat om gevoelige bestanden van gebruikers te stelen van de gecompromitteerde machines. Wanneer privégegevens wordt gekaapt van de slachtoffers van de verstrekte informatie kan worden gebruikt voor criminele doeleinden, zoals financiële misbruik of diefstal van identiteit.
- virusinfecties - De backdoor kan worden gebruikt als een payload druppelaar voor andere bedreigingen. Infecties met het kan leiden tot gevaarlijke infecties.
- Network Voortplanting - De besturingsmogelijkheden afstandsbediening kan de hackers andere hosts op hetzelfde netwerk te infecteren door misbruik gevonden gebreken.
Als gevolg van de achterdeur kan de hackers malware bestanden te uploaden naar de getroffen klanten en bindt het aan het runnen van processen of nieuwe onderwerpen. Dit alles kan worden gedaan in een VFS (virtueel bestandssysteem) die is opgenomen in het Windows-register. Dankzij de encryptie module de malware acties niet doeltreffend kan worden ontdekt door de meeste anti-virus utilities. Dit is de reden waarom raden we het gebruik van een kwaliteit anti-spyware product dat in staat is om effectief detecteren inkomende monsters en verwijderen van actieve infecties met een paar muisklikken.
Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter