ShadowPad foi detectado no Brasil, Chile, Colômbia, México e Peru

Segurança

Os especialistas da Kaspersky Lab descobriram um backdoor plantado no software de gerenciamento de servidores NetSarang que é usado por centenas de grandes empresas em todo o mundo. Esta ameaça quando ativada permite que cibercriminosos baixem conteúdos maliciosos ou roubem dados.

No mês passado, a Equipe de Pesquisa e Análise Global da Kaspersky Lab (GReAT) foi abordada por um de seus parceiros do setor financeiro que estava preocupado com solicitações DNS (servidor de nomes de domínio) suspeitas originadas em um sistema envolvido no processamento de transações financeiras.

Ao investigar melhor, descobriu-se que a fonte dessas solicitações era o software de gerenciamento de servidores produzido por uma empresa legítima que desconhecia essas solicitações. Assim, a Kaspersky Lab encontrou o módulo malicioso oculto em uma versão recente do software legítimo, que é reconhecido em suas soluções como “Backdoor.Win32.ShadowPad.a”.

Até agora, o malware foi ativado em Hong Kong, enquanto o software trojanizado foi detectado em vários países da América Latina, incluindo o Brasil, Chile, Colômbia, México e Peru. No entanto, o módulo malicioso pode ser latente em muitos outros sistemas em todo o mundo, especialmente se os usuários não tiverem instalado a versão atualizada do software afetado.

O ShadowPad é um dos maiores ataques em cadeia de fornecedores conhecidos e a empresa de cibersegurança já avisou a fornecedora do software afetado, que rapidamente removeu o código malicioso e lançou uma atualização para os clientes.

“Os atacantes se tornam intrusos indetectáveis porque com as mesmas ferramentas de gestão legítimas do cliente atacado, o criminoso pode ter o controle de sistemas críticos como servidores, estações de trabalho, arquivos, etc., e extrair informações, roubar senhas, banco de dados ou simplesmente espionar a atividade de suas vítimas”, indica Fabio Assolini, analista sênior de segurança da equipe da Kaspersky Lab na América Latina.

“O ShadowPad é um exemplo do nível de perigo e abrangência que um ataque bem-sucedido à cadeia de fornecimento pode alcançar. Devido às oportunidades de alcance e coleta de dados que proporciona aos invasores, é provável que ele seja reproduzido repetidamente com outros componentes de software amplamente usados. Felizmente, a NetSarang respondeu rapidamente a nossa notificação e lançou uma atualização de software limpa. Provavelmente, isso evitou centenas de ataques de roubo de dados contra seus clientes. No entanto, esse caso mostra que grandes empresas precisam utilizar soluções avançadas, capazes de monitorar a atividade de rede e detectar anomalias. É nela que você pode identificar atividades maliciosas, mesmo que os invasores tenham conseguido ocultar seu malware dentro de algum sofisticadas legítimo”, completa o analista.


Clique para ler a bio do autor  Clique para fechar a bio do autor