Se descubre un backdoor oculto en un programa de gestión de servidores

Los analistas de Kaspersky Lab han anunciado el descubrimiento de un backdoor oculto, denominado ShadowPad, en un programa de gestión de servidores que actualmente utilizan cientos de grandes empresas de todo el mundo. Cuando se activa, permite a los ciberatacantes descargar componentes maliciosos o robar información.

La ciberseguridad está cambiando, al igual que la tecnología, las empresas, el mercado, el uso de los datos y, sobre todo, las intenciones de los cibercriminales.Si quieres conocer cómo está evolucionando este mercado, puedes acceder content marketing en este enlace, o bien, descargarte la revista digital haciendo clik en este enlace. 

Quizá te interese... El entorno de la pyme en 2017 Cómo ser flexible y apto para la transformación digital Cómo lograr el éxito en la gestión del rendimiento empresarial y la Inteligencia de negocio Impacto económico del desarrollo de aplicaciones de negocio con ServiceNow Rendimiento digital: la importancia para el retailer Informe e-Pyme 2016

El hecho se remonta al pasado mes de julio, momento en el que el grupo mundial de análisis e investigación de Kaspersky Lab fue contactado por uno de sus partners, una entidad financiera. Los especialistas de la organización sospechaban de las peticiones DNS originadas en un sistema involucrado en el procesamiento de transacciones financieras. Investigaciones posteriores mostraron que la fuente de esas peticiones era un software de gestión de servidores desarrollado por una conocida empresa, y utilizado por cientos de clientes de distintos sectores. Lo más preocupante fue el hecho de que el fabricante del programa no había previsto que el programa llevará a cabo ese tipo de peticiones.

De esta forma, los análisis realizados por Kaspersky Lab mostraron que las peticiones sospechosas eran el resultado de la actividad de un código malicioso, oculto en la versión más reciente del software legítimo. Después de instalar la actualización del programa infectado, el componente malicioso empezaba a enviar peticiones DNS a dominios concretos, con una frecuencia de una vez cada ocho horas, y con información básica sobre el sistema víctima. Tras este descubrimiento, los analistas de Kaspersky Lab se pusieron inmediatamente en contacto con NetSarang, quien reaccionó con rapidez y procedió a distribuir una versión actualizada libre del código malicioso.

Hasta el momento, y según la investigación del fabricante, este componente se ha visto activo en varios países de la región de Asia/Pacífico, pero podría estar inactivo en muchos otros sistemas por todo el mundo, especialmente si los usuarios no han instalado la actualización del programa en cuestión.