Aggiornamenti recenti Ottobre 21st, 2025 10:31 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Cyberattacchi: estorsioni e ransomware dietro la metà delle campagne malevole
- Centinaia di estensioni Chrome sfruttate in una campagna di spam
- CERT-AGID 11–17 ottobre: PagoPA, MAECI e le amministrazioni regionali tra i bersagli della settimana
- In Italia oltre 2.000 attacchi settimana, ben più della media globale. La ricerca di Check Point
- ChatGPT Agent può essere usato per esfiltrare dati
Shadowpad è una Backdoor in Xmanager, Xshell, Xftp e Xlpd: aggiornare subito!
Kaspersky Lab ha identificato Shadowpad, una backdoor nascosta in alcuni software della società Netsarang tramite la compromissione del loro sistema di aggiornamento.
Ha fatto molto scalpore, qualche tempo fa, il modo in cui NotPetya è stato distribuito a una serie di aziende, ma quella di sfruttare gli aggiornamenti per infettare software leciti è una tecnica usata da molti anni dai criminali informatici e Kaspersky ha appena scovato una nuova campagna che prendeva di mira aziende di medie e grandi dimensioni.
La campagna d’attacco Shadowpad consisteva nell’infiltrare, tramite un aggiornamento “lecito”, una backdoor nei programmi Xmanager, Xshell, Xftp e Xlpd prodotti dalla società Netsarang.
Questi software di amministrazione sono attualmente usati in molte aziende attive nei settori della finanza, dell’istruzione, delle telecomunicazioni, della produzione industriale, dell’energia e dei trasporti.
L’aggiornamento incriminato, nei quali i malintenzionati sono stati in grado di inoculare il modulo malevolo, è del 18 luglio e al momento sembra che il software sia stato attivato solo in un’azienda di Hong Kong, mentre le altre installazioni sono rimaste “dormienti”.
Il modulo base di Shadowpad, infatti, si limita a inviare a intervalli di otto ore una serie di informazioni di base sui sistemi colpiti (dominio, dati sull’hardware e sulla rete) a un server di comando e controllo. I criminali deciderebbero poi, in base a quanto raccolto, quali sono i target potenzialmente interessanti, attivando su di questi il download di altri moduli che permettono di prendere il controllo totale del sistema infetto.
La scoperta del malware è avvenuta grazie a un software di analisi del traffico di rete interno che ha sollevato un alert relativo alle richieste DNS che il modulo malevolo inviava ciclicamente all’esterno.
I sistemisti del sistema colpito si sono insospettiti e hanno chiesto supporto a Kaspersky Lab che, dopo aver chiesto lumi al produttore sugli strani contatti all’esterno, ha attivato il suo team di analisi (Great) e scoperto “l’intruso”.
Quando abbiamo visto in questa campagna risolleva l’importanza di avere una struttura di sicurezza a più livelli che possa far fronte a casi in cui la compromissione arrivi da fonti insospettabili. La celerità con cui la campagna Shadowpad è stata scoperta ha giocato un ruolo essenziale nel limitare i danni causati.
Chi avesse uno o più dei software di Netsarang installati in azienda dovrebbe aggiornare appena possibile e verificare che il primo modulo non abbia già attivato ulteriori malware.
Sul blog Securelist si trova un approfondimento sul malware dal quale risulta che l’ipotesi attualmente più probabile sull’origine di Shadowpad è quella che sia stato prodotto da uno dei gruppi cinesi specializzati in cyberspionaggio.
Alcune similitudini nel codice del modulo, infatti, richiamano qualcosa di già visto in altri malware creati dai gruppi PlugX e Winnti, ma il ricercatore specifica che le congruenze sono comunque piuttosto limitate e non danno certezze sull’attribuzione.
Condividi l'articolo
- Giancarlo Calzetta, Great, infiltrazione, Kaspersky lab, malware, Shadowpad, sicurezza informatica, supply chain attack
Ransomware: IKARUSdilapidated sfugge agli antivirus e attacca le aziende
Microsoft teme il garante europeo e aggiusta il tiro su win 10
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Cyberattacchi: estorsioni e ransomware dietro la metà... Le campagne di estorsione e i ransomware continuano a... -
In Italia oltre 2.000 attacchi settimana, ben più della... Il Global Threat Intelligence Report di settembre... -
ChatGPT Agent può essere usato per esfiltrare dati ChatGPT Agent può essere usato per esfiltrare dati: lo ha... -
La complessità delle password non è così importante. Lo... Aumentare la complessità delle password, richiedendo... -
Ricerca FireMon: il 60% dei firewall non supera i controlli... Secondo l’ultima ricerca di FireMon, azienda di...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Cyberattacchi: estorsioni e ransomware dietro la metà... Le campagne di estorsione e i ransomware continuano a...
-
Centinaia di estensioni Chrome sfruttate in una campagna di... Il Threat Research Team della compagnia di sicurezza... -
CERT-AGID 11–17 ottobre: PagoPA, MAECI e le... Nel periodo compreso tra l’11 e il 17 ottobre, il... -
In Italia oltre 2.000 attacchi settimana, ben più della... Il Global Threat Intelligence Report di settembre...
-
ChatGPT Agent può essere usato per esfiltrare dati ChatGPT Agent può essere usato per esfiltrare dati: lo...
Ransomware: la serie
No posts found.