A empresa de cibersegurança Kaspersky Labs detectou no Brasil um ataque chamado “ShadowPad”, que tem como alvo os servidores de empresas. Segundo a empresa, o ataque coloca em risco os servidores de centenas de empresas do mundo todo.
O ataque foi detectado pela primeira vez por uma cliente da empresa, do setor financeiro. A empresa percebeu que seu sistema de processamento de transações financeiras estava gerando solicitações de DNS suspeitas. Uma investigação mais aprofundada revelou que essas solicitações vinham do software de gerenciamento de servidores.
Mas o software, fornecido por uma empresa legítima chamada NetSarang e usado por centenas de empresas, estava fazendo essas solicitações de maneira não-intencional. Mais tarde, foi possível perceber que elas estavam sendo feitas por um módulo malicioso oculto na versão mais recente do software. O módulo chegou até lá por causa de uma atualização infectada.
Esse módulo fazia consultas de DNS ao seu servidor de comando e controle (uma espécie de central externa que orienta o arquivo malicioso sobre como agir) a cada oito horas. As solicitações continham informações valiosas sobre o sistema da empresa afetada. Se o sistema fosse considerado “interessante”, a central de comando e controle poderia ativar silenciosamente um backdoor no servidor afetado para baixar e executar outros códigos maliciosos.
Segundo a Kaspersky, a NetSarang já foi avisada e já lançou uma atualização que remove o módulo malicioso. É importante que ela seja instalada o mais rapidamente possível, já que, segundo a Kaspersky, é possível que o ataque esteja latente em outros sistemas também.