ShadowPad, el backdoor oculto en un programa de gestión de servidores

Analistas de Kaspersky han descubierto una puerta trasera, o backdoor, en un programa de gestión de servidores de la firma NetSarang que es utilizado por cientos de grandes empresas de todo el mundo en sectores como el financiero, educación, telecomunicaciones, producción, energía y transporte. El fabricante del software ha procedido a eliminar el código malicioso, bautizado como ShadowPad, y ha distribuido entre sus clientes una actualización.

También puedes leer... Informe global sobre Seguridad de la Información 2016-2017 Evolución de los ataques con exploits GDPR: todas sus claves Riesgos de IoT en las empresas Desarrollo de estrategias de ciberseguridad nacional

La detección del malware se produjo después de que los responsables de una entidad financiera sospecharan de las peticiones DNS (domain name server) originadas en un sistema involucrado en el procesamiento de transacciones financieras.

Investigaciones posteriores mostraron que la fuente de esas peticiones era un software de gestión de servidores. Lo más preocupante fue el hecho de que el fabricante del programa no había previsto que el programa llevará a cabo ese tipo de peticiones.

Análisis realizados por Kaspersky Lab mostraron que las peticiones sospechosas eran el resultado de la actividad de un código malicioso, oculto en la versión más reciente del software legítimo. Después de instalar la actualización del programa infectado, el componente malicioso empezaba a enviar peticiones DNS a dominios concretos (su servidor de comando y control), con una frecuencia de una vez cada ocho horas. La petición contenía información básica sobre el sistema víctima. Si los ciberdelincuentes consideraban el sistema como algo “interesante”, el servidor de comando respondería y activaría la puerta trasera completa de una plataforma que se desplegaría de forma silenciosa dentro del ordenador atacado. Después, ante una simple instrucción de los atacantes, el backdoor se abriría y permitiría descargar y ejecutar nuevos códigos maliciosos.

Kaspersky Lab recuerda a todos los usuarios que deben actualizar inmediatamente su programa NetSarang a la última versión, ya libre del componente mal intencionado, y comprobar sus sistemas en búsqueda de señales de peticiones DNS realizadas a dominios poco frecuentes. Una lista con los comandos de servidores de dominios utilizados por el componente malintencionado está disponible en el blogpost Securelist, incluye también información técnica adicional sobre la puerta trasera.