ซิสโก้แจ้งเตือนมัลแวร์ MalPutty มัลแวร์ที่ปลอมตัวเป็น PuTTY โปรแกรมสำหรับเชื่อมต่อ Secure Shell จากวินโดวส์ที่ได้รับความนิยมสูง โดยแฮกเกอร์เข้ายึดเซิร์ฟเวอร์ที่มีช่องโหว่ แล้ววางไฟล์เว็บที่เหมือนหน้าเว็บของ PuTTY จริง แต่ตัว putty.exe กลับเป็นของปลอม

เมื่อเหยื่อดาวน์โหลด putty.exe ปลอมมารันจะสามารถใช้งานได้เหมือนรุ่นจริงทุกประการ แต่เมื่อผู้ใช้ล็อกอินเซิร์ฟเวอร์แล้ว MalPutty จะส่งข้อมูลการเชื่อมต่อ เป็นข้อความ ssh://[username]:[password]@[IP address or domain]:[port] กลับไปยังเซิร์ฟเวอร์ที่ตอนนี้พบแล้วสามตัวทั่วโลก

ด้วยข้อมูลทั้งหมดที่ส่งกลับไปยังเซิร์ฟเวอร์ทำให้แฮกเกอร์สามารถเข้าควบคุมเครื่องได้ตลอดเวลา แม้อาจจะไม่ถึงกับเจาะ root ได้ แต่ก็สามารถวางไฟล์สร้าง botnet บนเซิร์ฟเวอร์จำนวนมากได้สบายๆ

ทางซิสโก้รายงานว่า MalPutty มีค่า SHA1 เป็น 51c409b7f0c641ce3670b169b9a7515ac38cdb82 ผู้ดูแลระบบที่ต้องเชื่อมต่อกับเซิร์ฟเวอร์ที่มีความเสี่ยงสูงควรตรวจสอบ PuTTY ที่ดาวน์โหลดมาให้ถูกต้องแน่นอนเสียก่อน ทีมงานผู้พัฒนา PuTTY แนะนำให้ตรวจสอบ PuTTY รุ่นที่ถูกต้องด้วย ลายเซ็นดิจิตอลแบบ RSA หรือ DSA แต่กระบวนการอาจจะยุ่งยากสำหรับผู้ดูแลระบบส่วนใหญ่ แนวทางที่ง่ายกว่าคือ ตรวจค่า SHA1 ด้วยโปรแกรม FCIV จากไมโครซอฟท์ putty.exe รุ่น 0.64 ล่าสุดมีค่า SHA1 เป็น 6c7ea23ca3b61fe4a5c88acd7132079a6c292e80

แนวทางการเจาะระบบเช่นนี้เคยเกิดมาก่อนแล้วในโปรแกรม FireZilla ที่แฮกเกอร์นำไปดัดแปลงเป็นมัลแวร์ StealZilla เพื่อส่งรหัสผ่านกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์เช่นกัน

ที่มา - Cisco Security Blog