Uważajcie na szkodliwą wersję PuTTy, która wykrada dane logowania
Jeżeli korzystacie z bardzo popularnego klienta SSH i Telnet dla systemu Windows, jakim jest program PuTTy, koniecznie sprawdźcie jego wersję i pliki – w Internecie krąży obecnie wersja zmodyfikowana przez cyberprzestępców, która wykrada dane użytkowników i umożliwia przejęcie kontroli nad serwerami. Złośliwa wersja jest dostępna od dłuższego czasu.
O sprawie poinformował jeden z pracowników firmy Symantec, zajmującej się bezpieczeństwem komputerowym. W ostatnim czasie jej dział analizujący zagrożenia zaczął otrzymywać coraz więcej informacji o zmodyfikowanej wersji aplikacji PuTTy. Po dokładnej analizie okazało się, że ktoś skorzystał z otwartych źródeł tego programu, dodał do niego własny, szkodliwy kod, a następnie zaczął rozprzestrzeniać wśród użytkowników. Używanie tej wersji jest bardzo niebezpieczne, grozi wyciekiem danych logowania do serwerów i ich przejęciem przez osoby niepowołane.
Pracownicy Symanteca wykryli szkodnika już pod koniec 2013 roku, ale wtedy w zasadzie nie rozprzestrzeniał się on. Dopiero po półtora roku autor postanowił zaatakować z całą siłą – specjaliści od spraw bezpieczeństwa sugerują, że w tym czasie mógł wykonywać testy i sprawdzać, czy jego aplikacja jest wykrywana przez oprogramowanie antywirusowe. Z tym jest natomiast różnie, bo większość aplikacji czy zapór sieciowych dopuszcza PuTTy, jaki znany i zaufany program. Na szczęście istnieją cechy charakterystyczne, dzięki którym możemy samodzielnie wykryć szkodnika. Zmodyfikowana wersja jest znacznie większa, plik wykonywalny zajmuje więcej miejsca, niż prawdziwe PuTTy (nieco ponad 500 KB). Autentyczność aplikacji możemy sprawdzić przechodząc do zakładki „About” – jeżeli widnieje tam informacja o niezdefiniowanym wydaniu z listopada 2013 roku, to znaczy, że korzystamy z niebezpiecznej wersji.
Cyberprzestępcy korzystają z popularności programu i wiele stron przekierowują do serwera w Zjednoczonych Emiratach Arabskich, który zawiera fałszywe PuTTy. Aplikacja po udanym połączeniu do wybranego przez użytkownika serwera przesyła dane logowania (nazwa hosta, login, hasło, port, protokół) do cyberprzestępców, przestawia się wtedy jako przeglądarka internetowa, aby uniknąć ewentualnego wykrycia i wywołania alarmu. Jeżeli korzystacie z PuTTy, zalecamy jak najszybsze sprawdzenie autentyczności aplikacji. Jak można natomiast uniknąć tego typu „infekcji”? Zawsze korzystajmy z zaufanych źródeł oprogramowania, a także stron producentów, nie pobierajmy tego typu programów z nieznanych stron internetowych.
