Uma versão maliciosa do popular aplicativo PuTTY está sendo lançada

Uma versão maliciosa do popular aplicativo PuTTY SSH (Secure shell) foi criada por criminosos cibernéticos e seu código foi desenvolvido para roubar credenciais usadas para acesso remoto a servidores.

putty hacker

O PuTTY é um programa popular, gratuito e de código aberto. Ele funciona em ambientes Windows e Unix e é usado principalmente para comunicação criptografada com máquinas remotas, geralmente com o sistema operacional Linux / Unix.

É frequentemente usado por administradores de sistema, desenvolvedores web e administradores de banco de dados em todo o mundo.

Os criminosos de cibercrime reconstituíram uma cópia Trojanized do PuTTY que circula na Internet desde 2013.

Nesta versão invadida, os dados da conexão são coletados quando o administrador se conecta a um computador remoto e são entregues ao servidor da Web do invasor.

massa 2

Os pesquisadores de segurança da Symantec foram os primeiros a detectar tráfego não oficial no final de 2013.

Dumitru Stama, da Symantec, relata que os programas de segurança têm PTTY em sua lista de permissões, pois suas conexões geralmente são consideradas confiáveis ​​devido ao uso do programa pelos administradores de sistema.

A cópia “incorreta” pode ser reconhecida se você observar as informações no “sobre” do programa, que é o seguinte: “Compilação não identificada, 29 de novembro de 2013 21:41:02”

massa 1

A versão não oficial e, ao mesmo tempo, invadida por hackers é muito maior em volume que a última versão legal, o que deve acionar um alarme nos programas de segurança, mas se eles também forem totalmente atualizados.

Stama diz que os dados de telemetria da empresa mostram que há uma distribuição limitada da versão Trojanized, e não é de uma única área ou setor específico, sugerindo que não está sendo usado para ataques direcionados.

Você pode baixar a cópia maliciosa se fizer uma pesquisa na Internet por esse programa, e os resultados dessa pesquisa podem incluir sites maliciosos.

Se a vítima escolher um dos sites invadidos que, inadvertidamente, entrega o aplicativo malicioso, ele fará o download da versão maliciosa após vários redirecionamentos. O mais recente deles está em um endereço IP nos Emirados Árabes Unidos.

Cada vez que a vítima é conectada a um local remoto, os certificados são entregues diretamente ao invasor, que pode ser conectado por sua vez sempre que quiser.

Um método simples de proteção é verificar a fonte do download e garantir que o pacote venha do site oficial.