Рост популярности использования PuTTY с трояном

Компания Symantec, специализирующая разработке программного обеспечения и безопасности обратила внимание на рост возникновения проблем связанных с появлением версии PuTTY, которая используется для подключения к серверу по ssh в Windows, с трояном, который перехватывает вводимые данные для авторизации к серверу. Как такое могло произойти? Открытые исходные коды программного обеспечения имеют не только плюсы, но и минусы. Один из таких минусов в том, что злоумышленники тоже могут воспользоваться исходниками с целью добавления вредоносных функций. Так случилось и с PuTTY.

Популярный ssh-клиент PuTTY разработан Симоном Татамом и поставляется с открытым исходным кодом. Этим клиентом пользуется большое количество людей, чья деятельность касается работы с удаленными серверами (веб-мастеры, администраторы, владельцы серверов, разработчики и тому подобное). Злоумышленники взяли исходный код и добавили в него вредоносную функцию, позволяющую перехватывать вводимые логины и пароли для подключения к серверу, и пересылать хакерам. Сама ситуация была еще в 2013 году, но сейчас произошел колоссальный рост процента использования затрояненной версии PuTTY.

Как происходит, что подобный вариант распространения опасного ПО становится жизнеспособным?

  1. Пользователь интернета редко идет дальше первой ссылки на свой запрос. 
  2. Поисковики выводят большое количество разных ссылок на ПО помимо официальной страницы, что позволяет продвинуть в поисковых запросах скомпрометированный сайт (см. п1.) 
  3. Скомпрометированный веб-сайт может перенаправить посетителя на нужный злоумышленникам ресурс для скачивания вредоносного ПО. 

После того, как ПО скачано, пользователь непременно воспользуется им. В нашем случае это PuTTY.

Обычно, подключение выглядит следующим образом

ssh://<ЛОГИН>:<ПАРОЛЬ>@<АДРЕС>:<ПОРТ>

Как видите, логин и пароль указываются в незашифрованном виде. Затроянный ssh-клиент копирует ссылку на подключения целиком и отправляет на сторонний ресурс. Продукты компаний Symantec и Norton определяют эту версию PuTTY как Hacktool, WS.Reputation.1, и Suspicious.Cloud.9.

В заключение хочется сказать – старайтесь скачивать ПО только из официальных источников, регулярно обновляйте ПО и систему и пользуйтесь антивирусными средствами для минимизации возможности заражения и использования зараженным вредоносным ПО.

Автор статьи:

Сабынич Вадим

Аватар пользователя vadim s. sabinich
Вернуться