Kaspersky Lab

 

Notas de Prensa

29.08.2017

ShadowPad: el backdoorocultodentro deun programa utilizado por cientos de compañías de todo el mundo

Los analistas de Kaspersky Lab han descubierto un backdoor en un programa de gestión de servidores utilizado por cientos de grandes empresas de todo el mundo. Cuando se activa, permite a los ciberatacantes descargar componentes maliciosos o robar información. Kaspersky Lab ha alertado a NetSarang, el fabricante del software afectado, que rápidamente ha procedido a eliminar el código malicioso y ha distribuido entre sus clientes una actualización.

ShadowPades uno de los ataques más conocidos a cadenas de logística o de suministro. De no haber sido detectado y reparado con rapidez, podría haber afectado a cientos de empresas en todo el mundo.En julio de 2017, el grupo mundial de análisis e investigación (Global Research and Analysis Team – GreAT) de Kaspersky Lab, fue contactado por uno de sus partners, una entidad financiera. Los especialistas de la organización sospechaban de las peticiones DNS (domain name server) originadas en un sistema involucrado en el procesamiento de transacciones financieras. 

Investigaciones posteriores mostraron que la fuente de esas peticiones era un software de gestión de servidores desarrollado por una conocida empresa, y utilizado por cientos de clientes en sectores como el financiero, educación, telecomunicaciones, producción, energía y transporte. Lo más preocupante fue el hecho de que el fabricante del programa no había previsto que el programa llevará a cabo ese tipo de peticiones.

Análisis realizados porKaspersky Lab mostraron que las peticiones sospechosas eran el resultado de la actividad de un código malicioso, oculto en la versión más reciente del software legítimo. Después de instalar la actualización del programa infectado, el componente malicioso empezaba a enviar peticiones DNS a dominios concretos (su servidor de comando y control), con una frecuencia de una vez cada ocho horas. La petición contenía información básica sobre el sistema víctima. Si los ciberdelincuentes consideraban el sistema como algo “interesante”, el servidor de comando respondería y activaría la puerta trasera completa de una plataforma que se desplegaría de forma silenciosa dentro del ordenador atacado. Después, ante una simple instrucción de los atacantes, el back door se abriría y permitiría descargar y ejecutar nuevos códigos maliciosos.

Tras este descubrimiento, los analistas de Kaspersky Lab se pusieron inmediatamente en contacto con NetSarang. La compañía supo reaccionar con rapidez y procedió a distribuir una versión actualizada libre del código malicioso.

Hasta el momento, y según la investigación de Kaspersky Lab, este componente se ha visto activo en varios países de la región de Asia Pacífico, pero podría estarinactivo en muchos otros sistemas por todo el mundo, especialmente si los usuarios no han instalado la actualización del programa en cuestión.

Analizando las técnicas utilizadas, los analistas de Kaspersky Lab han llegado a la conclusión de que estamos en una situación muy parecida a las prácticas utilizadas previamente por los grupos PlugX y WinNTi, unos grupos de ciberespionaje de lengua china muy conocidos. Esta información, sin embargo, no permite crear una conexión concluyente con estos actores.

ShadowPad es un ejemplo de lo peligroso y amplio que puede llegar ser un ataque exitoso a la cadena logística. Con las oportunidades que tienen los atacantes para acceder y conseguir información, lo más probable es que sea reproducido una y otra vez con algún otro componente de software ampliamente utilizado. Afortunadamente, NetSarang reaccionó rápidamente y distribuyó una versión actualizada y limpia, impidiendo el robo de cientos de robos de datos a sus clientes. Sin embargo, estamos ante un ejemplo de por qué las grandes empresas deben confiar en soluciones avanzadas que monitoricen la actividad de la red y detecten anomalías. Estamos ante un caso donde podemos detectar actividad maliciosa, incluso con unos ciberdelincuentes lo suficientemente sofisticados como para poder ocultar su malware dentro de un software perfectamente legítimo”, comenta Igor Soumenkov, experto en seguridad del equipo mundial de análisis y estudio de Kaspersky Lab.

Todos los productos de Kaspersky Lab detectan y protegen contra el malware ShadowPad, conocido como “Backdoor.Win32.ShadowPad.a”.

Kaspersky Lab recuerda a todos los usuarios que debenactualizarinmediatamente su programa NetSarang a la última versión, ya libre del componente mal intencionado, y comprobar sus sistemas en búsqueda de señales de peticiones DNS realizadas a dominios poco frecuentes. Una lista con los comandos de servidores de dominios utilizados por el componente malintencionado está disponible en el blogpost Securelist, incluye también información técnica adicional sobre la puerta trasera.

Contacto de Prensa

Virginia Sanz

Enviado por e-mail

Tel. + 34-(0) 91 502 59 59

Descargar documento

Kaspersky Lab on the Web

Virus Analyst Blogs