{"id":9565,"date":"2017-08-16T14:41:48","date_gmt":"2017-08-16T17:41:48","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=9565"},"modified":"2019-11-22T07:25:12","modified_gmt":"2019-11-22T10:25:12","slug":"kaspersky-descobre-malware-de-ciberespionagem-em-software-legitimo","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/kaspersky-descobre-malware-de-ciberespionagem-em-software-legitimo\/9565\/","title":{"rendered":"Kaspersky descobre malware de ciberespionagem em software leg\u00edtimo"},"content":{"rendered":"

Experts da Kaspersky Lab descobriram um backdoor<\/a> em um software de gerenciamento de servidor usado por centenas de grandes empresas em todo o mundo. Esse recurso permite a hackers baixarem novos m\u00f3dulos maliciosos ou capturar dados.
\nA Kaspersky alertou a NetSarang, fornecedora do software, que removeu o c\u00f3digo malicioso e lan\u00e7ou uma atualiza\u00e7\u00e3o.<\/p>\n

O ShadowPad \u00e9 um dos maiores ataques de cadeia de fornecedores conhecidos. \u201cEsse tipo de opera\u00e7\u00e3o usa empresas fornecedoras para atingir uma organiza\u00e7\u00e3o mais bem protegida, como um banco\u201d, explica Fabio Assolini, analista s\u00eanior de malware da KL no Brasil.<\/p>\n

Software leg\u00edtimo<\/h3>\n

Em julho de 2017, a equipe de pesquisa e an\u00e1lise global (GReAT) da Kaspersky foi abordada por um dos seus parceiros \u2013 uma institui\u00e7\u00e3o financeira. A equipe de seguran\u00e7a estava preocupada com requisi\u00e7\u00f5es de DNS suspeitos (servidor de nomes de dom\u00ednio) em um sistema envolvido no processamento de transa\u00e7\u00f5es financeiras. Outras investiga\u00e7\u00f5es mostraram que a fonte era o software de gerenciamento, produzido por uma empresa leg\u00edtima e usado por centenas de clientes em setores como servi\u00e7os financeiros, educa\u00e7\u00e3o, telecomunica\u00e7\u00f5es, fabrica\u00e7\u00e3o, energia e transporte. A descoberta mais preocupante foi que o software n\u00e3o deveria agir assim. \u201cO truque aqui \u00e9 usar um aplicativo que \u00e9 considerado seguro (whitelist) pelos produtos de seguran\u00e7a\u201d, explica Assolini.<\/p>\n

A Kaspersky descobriu tamb\u00e9m que os pedidos suspeitos eram gerados por um m\u00f3dulo malicioso dentro de uma vers\u00e3o recente do software leg\u00edtimo. Ap\u00f3s a instala\u00e7\u00e3o de uma atualiza\u00e7\u00e3o de software infectado, esse m\u00f3dulo come\u00e7a a enviar consultas de DNS para dom\u00ednios espec\u00edficos (servidor de comando e controle) a cada 8h. O pedido cont\u00e9m informa\u00e7\u00f5es b\u00e1sicas sobre o sistema da v\u00edtima. Se os atacantes considerassem que o sistema era \u201cinteressante\u201d, o servidor de comando responderia e ativaria uma porta (backdoor) no computador atacado.<\/p>\n

\n

Ransomware Mamba volta a atacar empresas no Brasil \u2013 Blog oficial da Kaspersky Lab https:\/\/t.co\/4ZOsz4lqWm<\/a> pic.twitter.com\/L5ry3sc6GD<\/a><\/p>\n

\u2014 Kaspersky Brasil (@Kasperskybrasil) August 14, 2017<\/a><\/p><\/blockquote>\n