Xmanager troyanizado. Cientos de servidores en riesgo

Xmanager troyanizado. Cientos de servidores en riesgo

Una herramienta de administración usada por muchas corporaciones ha sido infectada con un Backdoor. Y lo peor es que ha sido instalada como actualización.

Los ataques informáticos van aumentando en escala y complejidad con el pasar del tiempo. Aunque las firmas de seguridad trabajan arduamente para mantener seguras a las personas, los cibercriminales encuentran formas cada vez más creativas para esconder sus ataques. Este caso es, sin dudas, una muestra de esa creatividad que, lamentablemente está en el bando equivocado.

Los investigadores de Kaspersky Labs han detectado por casualidad algo inusual en el software de administración de servidores producida por la compañía NetSarang. Esta compañía desarrolla, comercializa y soporta soluciones de conectividad segura y se especializa en el desarrollo de herramientas de administración de servidores para grandes redes corporativas.

Mientras realizaban una investigación en el mes de Julio, los especialistas de Kaspersky detectaron ciertas peticiones DNS sospechosas provenientes de las redes de un socio de negocios encargado de procesar transacciones financieras. Ahondando más en la investigación, lograron identificar que las peticiones venían de uno de los productos fabricados por NetSarang. De acuerdo a lo descubierto por los investigadores, el software habría sido modificado de manera ilegal para incluir una puerta trasera que podría ser activada por un atacante que estuviese informado de que esta existía.

Un backdoor bastante avanzado

La puerta trasera, a la que llamaron Shadowpad, estaba increíblemente bien escondida. La puerta trasera estaba bajo varias capas de código encriptado. Su activación dependía de que recibiera un paquete bastante específico de un dominio específico. Mientras el servicio C&C (Command and Control) no era activado, se enviaba información básica como nombres de usuario y de dominio cada ocho horas.

Quizás te interese:   XCodeGhost, o como infectar las aplicaciones de la AppStore

Para activar el C&C, el atacante debía enviar un paquete DNS TXT especial con un nombre de dominio que era generado basado en el mes y el año de activación. Luego de esto, el troyano enviaba información de la víctima, como nombre de usuario, fecha del sistema y configuración de la red, y el servidor de control respondía con una clave de cifrado para descifrar la siguiente fase del código y ejecutarlo, activando así la puerta trasera.

El malware aparentemente funcionaba de manera modular, permitiendo descargar y ejecutar código adicional y hasta mantener un sistema de archivos virtual almacenado en el registro. Este sistema de archivos virtual, así como cada pieza de código adicional eran cifrados y almacenados en una ubicación que variaba de equipo a equipo.

¿Cómo haces que un software con firma digital sea troyanizado?

Aparentemente alguien logró manipular el sistema de actualizaciones de NetSarang, incluyendo su pedazo de código malicioso, posiblemente antes de ser compilado, pues el resultado final estaba firmado con un certificado digital y es poco probable que el archivo fuese válido si era modificado posterior a la firma.

El código malicioso estaba escondido en el archivo nssock2.dll perteneciente al Xmanager y al Xshell. La versión comprometida estaba incluida en la actualización del 18 de Julio, por lo que fue instalada silenciosa e inadvertidamente por todos aquellos que usan estos dos software. Sin embargo, la compañía fue notificada el 4 de agosto y esta envió una actualización con una versión limpia de la aplicación.

Lo más preocupante es que el atacante ya había registrado los nombres de dominio que se usarían para activar el malware que corresponden a los dominios de julio hasta diciembre del 2017. Esto hace sospechar que los ataques empezarían en julio de este año, por lo que, si usas el software y no has actualizado, desactívalo ahora mismo o actualiza.

Quizás te interese:   DNSMessenger un troyano que no necesita escribir en tu disco para infectarte

Este es otro ejemplo de lo sofisticados que pueden llegar a ser los cibercrinales cuando están en búsqueda de algo específico. ¿Y cómo no les va a interesar tomar control de un montón de terminales dentro de bancos, compañías de energía y farmacéuticas?

Recuerden dejar sus comentarios, alimentan el debate y nos ayudan a mejorar.

Fuente: Secure List. Kaspersky Labs

Añadir Comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.