Investigadores de Seguridad de Symantec han alertado que cibercriminales estan utilizando una versión de Putty malicioso para obtener acceso a equipos remotos y robar datos sensibles.
Para los que no lo conocen Putty es un cliente SSH y Telnet ampliamente utilizado para la administración remota de diversos sistemas. Según Symantec esta versión maliciosa del cliente fue creado en 2013, Desapareció y ahora esta de vuelta.
Los cibercriminales lo están distribuyendo, comprometiendo los sitios que al buscar putty, aparecen en los motores de búsquedas como primeros resultados. Cuando el usuario accede al sitio comprometido, es redirigido varias veces, hasta llegar al sitio donde se sirve la versión maliciosa.
Como Funciona?
Al utilizar esta versión, cuando el usuario inicia una conexión SSH, los datos que incluyen la conexión, como son, Dirección remota, puerto, usuario y Contraseña, son captadas, cifradas y enviadas al servidor controlado por el atacante. Estas credenciales pueden ser usados por los atacantes para comprometer equipos remotos con permisos privilegiados en los casos que los datos captados sean administrativos.
Putty es un cliente muy utilizado, y si a esto sumamos la poca conciencia de seguridad de los usuarios al momento de obtenerlo, este putty malicioso podría tener un alto impacto.
La forma de mitigar el riesgo, es descargando el cliente de una fuente confiable y conocida, además de contar con un AV actualizado.
Fuente: SecurityWeek | Symantec | jsitech
