El equipo de respuesta de seguridad de Symantec ha encontrado una versión troyanizada del popular cliente SSH PuTTY que roba credenciales a los usuarios.
La versión maliciosa fue vista por primera vez por Symantec en Internet a finales de 2013, si buen su distribución fue mínima. Por lo tanto, la distribución actual de la versión troyanizada de PuTTY no es generalizada y no es específica de una región o de una industria, según los investigadores.
El PE de la versión analizada tiene el hash md5 b5c88d5af37afd13f89957150f9311ca, ha sido compilado con otra versión de Microsoft Visual C++ (se nota en el interfaz de usuario) y tiene este "about":
Cuando un usuario realiza una búsqueda de PuTTY en el motor de búsqueda, se proporcionan múltiples resultados. Si la víctima sin saberlo, selecciona la página web comprometida en lugar de la página de descarga oficial de PuTTY, el sitio web comprometido redirige a la víctima varias veces, y luego conecta a la víctima a una dirección IP en los Emiratos Árabes Unidos para proporcionar una versión maliciosa de PuTTY.
Normalmente PuTTY SSH utiliza el siguiente formato de URL estándar para la conexión:
ssh://[USER NAME]:[PASSWORD]@[HOST NAME]:[PORT NUMBER]
Si la versión maliciosa de PuTTY conecta correctamente con un host, copia la URL de conexión SSH, codifica la dirección URL con Base64 y en https, y envía un ping que contiene esa cadena al servidor web del atacante. Así, con estas credenciales, un atacante podrá hacer fácilmente una conexión con el servidor.
Moraleja: ¡Chequea siempre tus fuentes y preferiblemente descarga en sitios oficiales!
Fuentes:
- Check your sources! Trojanized open source SSH software used to steal information
- Trojanized, info-stealing PuTTY version lurking online
- Trojanized PuTTY Software
- Trojanized SSH Client PuTTY Steals Credentials
La versión maliciosa fue vista por primera vez por Symantec en Internet a finales de 2013, si buen su distribución fue mínima. Por lo tanto, la distribución actual de la versión troyanizada de PuTTY no es generalizada y no es específica de una región o de una industria, según los investigadores.
El PE de la versión analizada tiene el hash md5 b5c88d5af37afd13f89957150f9311ca, ha sido compilado con otra versión de Microsoft Visual C++ (se nota en el interfaz de usuario) y tiene este "about":
Cuando un usuario realiza una búsqueda de PuTTY en el motor de búsqueda, se proporcionan múltiples resultados. Si la víctima sin saberlo, selecciona la página web comprometida en lugar de la página de descarga oficial de PuTTY, el sitio web comprometido redirige a la víctima varias veces, y luego conecta a la víctima a una dirección IP en los Emiratos Árabes Unidos para proporcionar una versión maliciosa de PuTTY.
Normalmente PuTTY SSH utiliza el siguiente formato de URL estándar para la conexión:
ssh://[USER NAME]:[PASSWORD]@[HOST NAME]:[PORT NUMBER]
Si la versión maliciosa de PuTTY conecta correctamente con un host, copia la URL de conexión SSH, codifica la dirección URL con Base64 y en https, y envía un ping que contiene esa cadena al servidor web del atacante. Así, con estas credenciales, un atacante podrá hacer fácilmente una conexión con el servidor.
Moraleja: ¡Chequea siempre tus fuentes y preferiblemente descarga en sitios oficiales!
Fuentes:
- Check your sources! Trojanized open source SSH software used to steal information
- Trojanized, info-stealing PuTTY version lurking online
- Trojanized PuTTY Software
- Trojanized SSH Client PuTTY Steals Credentials
Comentarios
Publicar un comentario