Неизвестные злоумышленники скомпилировали вредоносную копию популярного SSH-клиента PuTTY. Эта копия работает как обычно, но вдобавок копирует учётные данные пользователя для доступа к удалённым серверам. Собранная информация отправляется злоумышленникам.

Троянизированную версию PuTTY обнаружили специалисты из Symantec Security Response. К сожалению, они сделали это с опозданием: телеметрия показывает, что программа распространялась в интернете с конца 2013 года. Впрочем, в первое время сфера её распространения была минимальной. Возможно, автор только тестировал концепцию. Лишь в 2015 году PuTTY с трояном, что называется, пошла в массы. Фальшивая версия PuTTY значительно больше оригинальной по размеру.

PuTTY обычно внесена в белый список на файрволах, поскольку её часто используют системные администраторы. Антивирусы тоже обычно не рассматривают её как угрозу безопасности.

Несмотря на все преимущества ПО с открытым исходным кодом, эта модель несёт в себе некоторые специфические риски, пишут исследователи из Symantec. Внедрение постороннего кода и выпуск вредоносных бинарников — один из таких рисков.

Это уже не первый случай, когда злоумышленники проделывают подобный трюк с open source программами. Например, в прошлом году был замечен FTP-клиент FileZilla с трояном.



15 комментариев

  1. 22.05.2015 at 23:16

    Неужели подобный софт кто-то скачивает из неофициальных источников?

  2. 23.05.2015 at 15:23

    С каких только варезников не будут качать софт, лишь бы показать, что они против системы. Даже если в топе гугла по одноимённому запросу светится ссылка на сайт программы.

  3. LARSIK

    24.05.2015 at 09:53

    Да это же гениально!

  4. 24.05.2015 at 20:17

    а что, >ssh user@host уже не работает?)))

    • 25.05.2015 at 01:36

      Ты сильно удивишься, но в винде не работает.

    • valery555

      26.05.2015 at 00:33

      Работает, пока не подламают.
      Эй, супер-пупер Гуру!
      Как отловить ВСЕ программные и аппаратные закладки на материнке, и все, что вокруг нее?
      Без этого пустяка, любая защита — миф.
      Предполагаю, что кто-то невмеру хитрозадый спер у АНБ, ЦРУ, ФСБ
      все, что было нажито непосильным трудом, и теперь резвится. Используя все готовое и предустановленное.
      Конкретно — прямой доступ без локальной сети.
      Или ты не Гуру, а просто «во бла бла» — вобла?

      • 29.05.2015 at 01:44

        Паранойю можно если не вылечить, то хотя бы приглушить. Есть таблетки всякие, уколы.

  5. 25.05.2015 at 12:34

    Зато в русском нет слова «за-то».
    С чего это он там встроенный? Или мы про какую-то версию винды, которую я не видел? После XP я несколько раз видел семёрку и пару раз видел восьмёрку, скайпов там не наблюдал.

  6. valery555

    26.05.2015 at 00:36

    И где мой комментарий?

  7. 30.05.2015 at 01:29

    WTF bros??!! O_o
    У меня такая 3 года на Винде стояла.
    Я убивал её Clamav из-под Дебиана..
    Всё не мог понять «чё за..»
    Пока эту статью не прочитал!
    Аффтар жжот!
    Аффтар — пейши исчо! 😉

  8. Jeffrey Davis

    01.06.2015 at 14:25

    Например, в прошлом году был замечен FTP-клиент FileZilla с трояном.

    А на прошлой неделе был скандал по поводу установщика GIMP с adware на сайте SourceForge.

Оставить мнение