PuTTY es un cliente Telnet y SSH para usuarios de Windows totalmente gratuito y de código abierto. Gracias a esta aplicación los usuarios del sistema operativo de Microsoft pueden establecer conexiones a través de estos protocolos con servidores remotos ya que MS-DOS, por defecto, no cuenta con esta opción. La información que puede haber en un servidor remoto es considerable, por lo que los piratas informáticos siempre están buscando nuevas formas de robar los datos de acceso y conseguir acceder a estos servidores.
Un grupo de piratas informáticos ha estado distribuyendo por la red una versión modificada de PuTTY en la que habían ocultado un troyano diseñado para lograr robar la información de los servidores SSH a los que se intentaba establecer conexión y poder conseguir así acceso remoto no autorizado a los sistemas.
Cuando un usuario busca la versión más reciente de este software en un buscador automáticamente aparecen cientos de sitios desde donde descargarlo. Si en vez de hacerlodesde la web principal accedemos a otro portal (infectado por el pirata informático) nos descargaremos una versión maliciosa, aparentemente igual que la original, aunque de diferente tamaño (el troyano pesa bastante).
El origen de esta versión modificada probablemente se encuentre en los Emiratos Árabes Unidos, ya que al acceder a un enlace malicioso se producen varios saltos y redirecciones para finalmente establecer conexión y comenzar la descarga del archivo desde un servidor alojado allí.
Este malware lleva presente en PuTTY desde 2013, aunque no ha empezado a distribuirse hasta ahora
Esta versión modificada de PuTTY data del año 2013, fecha cuando fue detectada por primera vez por VirusTotal como herramienta maliciosa. Desde dicho año apenas se ha visto actividad (probablemente porque los piratas informáticos estaban realizando pruebas con víctimas concretas) y no ha sido hasta ahora, un año y medio más tarde, cuando ha comenzado la distribución masiva del troyano.
Esta versión de PuTTY modificada funciona igual que la original para no levantar sospechas, salvo que al intentar establecer una conexión con un servidor remoto automáticamente se envía un ping al servidor de los piratas informáticos con la dirección y los credenciales de dicho servidor, otorgando así al pirata informático de acceso al servidor SSH.
Una vez más recordamos la importancia de descargar siempre las aplicaciones desde sus páginas web oficiales ya que algunos usuarios malintencionados pueden modificar aplicaciones y distribuir a través de Internet falsos enlaces de descarga de una versión, como en este caso, con un troyano oculto.
Fuente:https://www.redeszone.net/
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad