Compania de securitate Symantec a avertizat recent ca hackerii folosesc o versiune modificata de PuTTY, popularul client open-source Secure Shell (SSH) si telnet, pentru a obtine acces la computere si pentru a fura date importante.
Potrivit expertilor, atacatorii au creat versiunea malware de PuTTY la sfarsitul anului 2013, atunci cand au uploadat o copie a acestuia pe VirusTotal. Symantec spune ca aceasta versiune malware a disparut pentru o vreme, iar acum a reaparut.
Hackerii distribuie malware-ul cu ajutorul site-urilor compromise care apar in rezultatele motorului de cautare atunci cand utilizatorii cauta termenul “PuTTY”. Cand utilizatorii acceseaza un site compromis, acestia sunt redirectati catre un site gazduit in Emiratele Arabe Unite, care gazduieste versiunea malware de PuTTY.
“Statisticile noastre arata ca actuala versiunea malware de PuTTY nu este raspandita la scara larga si nu afecteaza o anumita regiune sau industrie”, a declarat Symantec.
Atunci cand utilizatorii initiaza o conexiune SSH pentru a accesa in siguranta un server de la distanta, URL-ul de conectare include adresa serverului, numarul de port, numele de utilizator si parola. Versiunea malware de PuTTY este conceputa pentru a copia acest URL, il codifica si il trimite catre un server controlat de atacatori. Acestia pot utiliza informatiile sensibile colectate pentru a obtine cel mai inalt nivel de privilegii pe un computer sau un server (cunoscut sub numele de acces root ), care le poate da controlul complet asupra sistemului vizat.
Versiunea malware de PuTTY este detectata de produsele Symantec ca Hacktool, WS.Reputation.1 si Suspicious.Cloud.9. De asemenea, expertii au remarcat faptul ca varianta malware are o dimensiune mult mai mare fata de cea legitima.
Deoarece PuTTY este utilizat frecvent de catre administratorii de sisteme/baze de date si de catre dezvoltatorii web pentru a accesa serverele de la distanta, instrumentul este adesea whitelisted si nu este privit ca o amenintare de catre firewall-uri si produsele de securitate. Acest lucru face ca versiunea malware de PuTTY reperata de Symantec sa fie chiar mai periculoasa.
Aceasta nu este prima data cand hackerii creaza o versiune malware a unei aplicatii populare in incercarea de a fura informatii sensibile. In ianuarie 2014, Avast a descoperit o varianta malware a clientului FTP FileZilla, conceputa pentru colectarea datelor de logare si trimiterea acestora catre un server aflat in Germania.
