A Kaspersky que recentemente alertou sobre a volta do ransomware Mamba no Brasil, alerta agora um novo ataque que foi detectado em nosso país, ShadowPad, que de acordo com a companhia é um um dos maiores ataques em cadeia de fornecedores conhecidos. Se não tivesse sido detectado e corrigido tão rapidamente, é possível que tivesse afetado centenas de organizações no mundo todo.
O ataque funciona na forma de um backdoor plantado em um software utilizado pro centenas de grandes empresas ao redor do mundo. A Kaspersky Lab já avisou a NetSarang, fornecedora do software afetado, que rapidamente removeu o código malicioso e lançou uma atualização para os clientes.
Até agora, de acordo com pesquisa da Kaspersky Lab, o módulo malicioso foi ativado em Hong Kong, enquanto o software Trojanizado foi detectado em vários países da América Latina, incluindo o Brasil, Chile, Colômbia, México e Peru. No entanto, o módulo malicioso pode ser latente em muitos outros sistemas em todo o mundo, especialmente se os usuários não tiverem instalado a versão atualizada do software afetado.
De acordo com Fabio Assolini, analista sênior de segurança da equipe da Kaspersky Lab na América Latina, este ataque vai além dos mecanismos de segurança, facilitando o acesso dos atacantes na administração da rede, das máquinas e dos servidores atacados. “Os atacantes se tornam intrusos indetectáveis porque com as mesmas ferramentas de gestão legítimas do cliente atacado, o criminoso pode ter o controle de sistemas críticos como servidores, estações de trabalho, arquivos, etc., e extrair informações, roubar senhas, banco de dados ou simplesmente espionar a atividade de suas vítimas”, diz Assolini.
Você também deve ler:
Hardware.com.br entrevista: Fabio Assolini, analista sênior de malware da Kaspersky Labs
“É importante notar que, hoje, uma empresa em qualquer setor pode ser a vítima de um ataque avançado simplesmente por ter o software usado em sua estrutura comprometido. Isso faz com que os países da América Latina, de forma automatizada, sejam atingidos por estarem na lista de potenciais alvos para os atacantes que operam a partir de dentro ou fora da região”, conclui Assolini.
Ao analisar as técnicas usadas pelos invasores, os pesquisadores da Kaspersky Lab chegaram à conclusão de que algumas delas eram muito semelhantes às usadas anteriormente pelos grupos PlugX e WinNTi, conhecidos grupos de espionagem virtual de idioma chinês. Contudo, essa informação não é suficiente para estabelecer uma conexão precisa com esses agentes.
Como se proteger do ataque?
A Kaspersky diz que todo os seus produtos detectam o malware ShadowPad como “Backdoor.Win32.ShadowPad.a” e oferecem proteção contra ele. Em relação as recomendações de segurança a companhia recomenda que os usuários atualizem imediatamente para a versão mais recentes do software da NetSarang, da qual o módulo malicioso foi removido, e verifiquem se há sinais de consultas DNS para domínios incomuns em seus sistemas. Uma lista de domínios de servidores de comando usados pelo módulo malicioso está disponível na postagem no blog do Securelist, que também inclui outras informações técnicas sobre o backdoor.
Veja também
Sobre o Autor
Deixe seu comentário