Kaspersky revela un nuevo exploit global

43 2 minutos de lectura

Kaspersky Lab anuncia el descubrimiento de una puerta trasera plantada en un software para el control de servidores que utilizan cientos de grandes empresas a nivel mundial a lo largo de industrias como servicios financieros, educación, telecomunicaciones, manufactura, energía y transporte.

Bautizado como ShadowPad, y siendo uno de los mayores ataques conocidos de cadena de suministro, cuando se activa permite descargar más módulos maliciosos o robar datos. El proveedor del software, NetSarang, ha eliminado el código malicioso y emitido una actualización para sus clientes.

Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para América Latina, afirma: ‘Los atacantes llegan a ser intrusos indetectables, ya que con las mismas herramientas legitimas de administración del cliente troyanizado pueden llegar a tener el control de sistemas críticos como servidores, estaciones de trabajo, archivos, etc. y extraer información, robar contraseñas, base de datos o simplemente espiar la actividad de sus víctimas’.

‘Es importante resaltar que hoy en día, una compañía de cualquier sector puede ser víctima de un ataque avanzado simplemente por usar un software comúnmente utilizado a nivel mundial. Esto hace que países de Latinoamérica, de una forma automática, lleguen a estar también en lista de objetivos potenciales de atacantes que operaran desde o fuera de la región’, añade.

Igor Soumenkov, experto en seguridad, Equipo de Investigación y Análisis Global, explica: ‘ShadowPad es un ejemplo de lo peligroso y extenso que puede ser un ataque exitoso en la cadena de suministro. Con las oportunidades de alcance y recopilación de datos que da a los atacantes, lo más probable es que se reproduzca una y otra vez con algún otro componente de software ampliamente utilizado. Por suerte, NetSarang fue rápido al reaccionar a nuestra notificación y emitió una actualización de software limpia, lo que muy probablemente evitó cientos de ataques con robo de datos a sus clientes. Sin embargo, este caso muestra que las grandes empresas deben confiar en soluciones avanzadas capaces de vigilar la actividad de la red y detectar anomalías. Es aquí donde usted puede detectar la actividad maliciosa, incluso si los atacantes fueran lo suficientemente avanzados como para ocultar su malware dentro de un software legítimo’.

Hasta ahora, y de acuerdo con la investigación de la empresa, el módulo malicioso se ha activado en Hong Kong, mientras que el software troyanizado ha sido detectado en varios países de Latinoamérica, incluyendo Brasil, Chile, Colombia, México y Perú. Sin embargo, el módulo malicioso podría estar latente en muchos otros sistemas en todo el mundo, especialmente si los usuarios no han instalado la versión actualizada del software afectado.

Después de la instalación de una actualización de software infectada, el módulo malicioso comienza a enviar peticiones de DNS a dominios específicos (su servidor de mando y control) con una frecuencia de una vez cada ocho horas. La solicitud contiene información básica sobre el sistema de la víctima. Si los atacantes consideraban que el sistema es interesante, el servidor de mando responde y activa una plataforma de puerta trasera completa que se despliega silenciosamente dentro de la computadora atacada. Después de eso, a pedido de los atacantes, la plataforma de puerta trasera es capaz de descargar y ejecutar código malicioso adicional.

La compañía concluye que existen algunas similitudes que apuntan a las variantes del malware PlugX utilizadas por el Winnti APT, un conocido grupo de ciberespionaje de habla china. Sin embargo, esta información no es suficiente para establecer una conexión precisa con estos agentes.

Por otro lado, todos sus productos detectan y protegen contra el malware ShadowPad como «Backdoor.Win32.ShadowPad.a». Mientras tanto, recomienda a los usuarios actualizarse inmediatamente a la versión más reciente del software NetSarang y comprobar si en sus sistemas hay peticiones de DNS a dominios no habituales.