Backdoor

Un nuevo exploit de puerta trasera ha sido encontrado por los investigadores de seguridad de la empresa NetSarang. Su nombre es ShadowPad, y entre las empresas afectadas destacan compañías farmacéuticas, empresas del sector energético y cientos de bancos en todo el mundo.

El día de ayer, pudo conocerse a través de Kapersky Lab, que la puerta trasera implantada fue descubierta en un producto de software de gestión de servidores llamado NetSarang, utilizado por diversas compañías del sector farmacéutico, financiero, telecomunicaciones, energía, transporte, manufactura, etc.

La activación de ShadowPad en el software de NetSarang permitió a los hackers descargar módulos adicionales de malware a los ordenadores y robar datos corporativos de índole confidencial. Los investigadores descubrieron la puerta trasera cuando uno de ellos se acercó a investigar un servidor cuyos nombres de dominio (DNS) eran sospechosos, ya que solicitaban datos de un sistema relacionado a las transacciones financieras.

El experto de seguridad de Kapersky Lab, Igor Soumenkov, expresó en el comunicado lo siguiente:

ShadowPad es un ejemplo de lo peligroso que puede ser un ataque a la cadena de suministros. Teniendo en cuenta el alcance y la cantidad de datos que obtienen los atacantes, lo más probable es que se reproduce una y otra vez con algún componente de software ampliamente utilizado.

Kapersky Lab logró determinar que el origen de la puerta trasera provenía del software legítimo de NetSarang, a través de un módulo malicioso agregado en una versión reciente. Lo más preocupante para los investigadores es que el software realizaba solicitudes de información cada 8 horas, algo que el NetSarang nunca planteó.

La información eliminada de estas solicitudes incluía información básica del sistema, como nombres de usuario, nombres de host y nombres de dominio. En el caso de que estos datos fueran útiles para los atacantes, el servidor de comando y control (C&C) del malware instalaría automáticamente el software de puerta trasera completo en el sistema de las víctimas.

Una vez instalado en los ordenadores, los hackers disfrutaron abiertamente del sistema para su vigilancia, creación de procesos, robos, carga de archivos o instalación de nuevos malware sin ser detectados. Sin embargo, los investigadores aún no logran determinar quién es el responsable de la creación del módulo, a pesar de que afirmaron que la técnica del ataque es muy similar a la practicada por los grupos de hackers chinos PlugX yt Winnti.

Una vez fue detectada la puerta trasera, la empresa NetSarang lanzó una nueva actualización del software de administración de servidores sin el módulo del malware. Por su parte, los investigadores están instando a las compañías a instalar esta actualización para su protección.

Más en TekCrispy