Pesquisadores de segurança descobriram que muitos produtos de conectividade feitas por NetSarang estão infectadas com o backdoor ShadowPad. Isso foi feito em um ataque de hacker que permitiu que os criminosos invadissem os servidores da empresa e colocassem instaladores maliciosos no lugar dos arquivos legítimos.
Produtos NetSarang infectados com o ShadowPad Backdoor
NetSarang, um dos mais conhecidos desenvolvedores de software de soluções de conectividade, foi encontrado para apresentar instaladores infectados por malware perigosos de seus produtos. O incidente de segurança foi relatado por uma empresa de segurança cibernética que fez a análise após revisar cuidadosamente os aplicativos baixados de seu site oficial. A descoberta foi feita depois que um dos clientes do fornecedor percebeu uma solicitação DNS suspeita proveniente de um pacote de software instalado em sua própria rede. A investigação revela que vários produtos fabricados pela empresa foram comprometidos: Xmanager Enterprise 5 (Construir 1232), Xmanager 5 (Construir 1045), Xshell 5 (Construir 1322), Xftp 5 (Construir 1218) e Xlpd 5 (Construir 1220).
Os especialistas em segurança e os investigadores acreditam que os criminosos por trás das infecções conseguiram acessar os servidores de download e modificar o código-fonte dos serviços de compilação ou substituir os instaladores por suas próprias versões. Os arquivos maliciosos foram lançados em julho 18 enquanto a descoberta foi feita várias semanas depois, em agosto 4. A Kaspersky Labs revela que o malware foi ativado apenas em sistemas de propriedade de uma empresa em Hong Kong, sugerindo que o código do vírus só pode ser usado contra alvos. É possível que outras empresas também tenham sido afetadas pelo malware. Felizmente, como as empresas de antivírus agora são alertadas sobre a ameaça, é fácil remover infecções ativas e inativas.
Impacto do ShadowPad Backdoor
O backdoor ShadowPad é um malware modular projetado para infectar as vítimas em dois estágios:
- A primeira fase incorpora o shellcode em um processo legítimo chamado “nssock2.dll”. Isso inicia a conexão de rede com o C controlado por hacker&servidores C. Durante este estágio, as informações confidenciais são coletadas do computador da vítima e transmitidas aos criminosos.
- A próxima etapa é ativar o mecanismo de backdoor integrado do ShadowPad. As amostras coletadas têm a capacidade de ativar cinco módulos diferentes que apresentam uma arquitetura modular. Isso significa que é possível carregar plugins adicionais, se necessário.
Todas as conexões de rede são criptografadas usando uma chave privada, o que torna muito difícil para os administradores descobrir infecções em suas redes. Por ser um backdoor sofisticado, ele permite que os criminosos executem várias ações maliciosas nas máquinas comprometidas:
- Recolha de informações - A pedido, os hackers podem iniciar um processo de coleta de dados que é capaz de baixar uma lista de todos os componentes de hardware, arquivos de configuração de software ou dados do usuário. Isto inclui o seguinte: dados e tempo, Estado da memória, Frequência da CPU, Espaço livre em disco, modo de vídeo, configurações regionais do sistema, PID de processos, versão do sistema operacional, nomes de usuário e nome de domínio.
- Módulo DNS - O backdoor do ShadowPad é capaz de se comunicar com o C&Servidores C usando o protocolo DNS.
- Seqüestro de dados - O backdoor do ShadowPad é capaz de roubar arquivos confidenciais do usuário das máquinas comprometidas. Quando dados privados são sequestrados das vítimas, as informações fornecidas podem ser usadas para fins criminosos, como abuso financeiro ou roubo de identidade.
- infecções por vírus - O backdoor pode ser usado como um dropper de carga útil para outras ameaças. Infecções com ele podem levar a infecções perigosas.
- Propagação rede - Os recursos de controle remoto permitem que os hackers infectem outros hosts localizados na mesma rede, explorando os pontos fracos encontrados.
Como resultado, o backdoor permite que os hackers carreguem arquivos de malware para os clientes comprometidos e os vinculem a processos em execução ou novos threads. Tudo isso pode ser feito em um VFS (sistema de arquivo virtual) que está contido no registro do Windows. Graças ao módulo de criptografia, as ações do malware não podem ser efetivamente descobertas pela maioria dos utilitários antivírus. Esta é a razão pela qual recomendamos o uso de um produto anti-spyware de qualidade que seja capaz de detectar com eficácia as amostras recebidas e excluir infecções ativas com alguns cliques do mouse.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: