O Kaspersky Lab anunciou nesta quinta-feira (17) a descoberta de um ataque ShadowPad realizado por meio de um software legítimo de gerenciamento de servidores utilizado por centenas de grandes empresas ao redor do mundo. A ação consistia no uso de módulos maliciosos ocultos na versão mais recente de um programa legítimo desenvolvido pela NetSarang para roubar informações sensíveis.
Ao descobrir a falha, a companhia de segurança informou a desenvolvedora, que já lançou uma atualização a fim de corrigir o problema e restaurar a segurança de seus clientes. Os ataques foram identificados no Brasil e também em outros países latino-americanos — Chile, Colômbia, México e Peru.
O caminho do problema
Em julho deste ano, uma equipe do Kaspersky Lab recebeu o contato de uma companhia do setor financeiro que havia identificado solicitações de DNS suspeitas em um sistema envolvido no processamento de transações financeiras. Após analisar o caso, os especialistas chegaram à fonte das solicitações: o software de gerenciamento de servidores da NetSarang.
A grande questão aqui era justamente o fato de essa não ser uma solicitação padrão do software, o que também levantou suspeitas e fez os pesquisadores de segurança seguirem adiante. Em análise mais detalhada, o Kaspersky Lab identificou que as solicitações suspeitas vinham, na verdade, de um módulo malicioso oculto no programa.
O ataque consistia em enviar informações básicas sobre o sistema das vítimas e, caso considerassem os dados interessantes, os criminosos realizavam a instalação de uma backdoor, que se aproveita de uma falha de segurança para agir de forma oculta, a fim de executar códigos maliciosos e roubar mais informações da companhia.
Disfarce legítimo
O grande trunfo desse ataque era utilizar um sistema legítimo para alcançar os seus fins. “Os atacantes se tornam intrusos indetectáveis porque com as mesmas ferramentas de gestão legítimas do cliente atacado, o criminoso pode ter o controle de sistemas críticos como servidores, estações de trabalho, arquivos etc., e extrair informações, roubar senhas, banco de dados ou simplesmente espionar a atividade de suas vítimas”, afirma o analista de segurança do Kaspersky Lab da América Latina Fabio Assolini.
Ainda não se sabe a autoria dos ataques, mas o método utilizado desta vez é bastante semelhante ao de grupos identificados anteriormente, como PlugX e WinNTi. Entretanto, não há como cravar uma conexão direta entre os eventos recentes e essas duas equipes de espionagem virtual, alerta a empresa de segurança.
A recomendação, agora, é que as companhias que utilizem softwares da NetSarang atualizem os programas todos para a sua versão mais recente. Como a companhia agiu rápido e corrigiu o problema, o simples update é capaz de reestabelecer a segurança.