Investigadores de Symantec analizaron una versión modificada del popular cliente de SSH y descubrieron capacidades añadidas para robar información.

PuTTy, el cual es escrito y mantenido por Simon Tatham y que puede ser descargado gratuitamente desde el sitio oficial del proyecto, es una aplicación que permite conectarse a otros equipos a través del servicio SSH utilizando un nombre de usuario y una contraseña. Ésta versión modificada, que fue compilada a partir del código fuente, es capaz de obtener esos usuario y contraseña necesarios para establecer la comunicación cifrada.

De acuerdo a los investigadores:

"La información que es enviada a través de SSH suele ser sensible y muchas veces es considerada como una mina de oro para las personas con intenciones maliciosas. Los atacantes pueden usar esta información sensible para obtener el nivel de privilegios más alto en un equipo o servidor, lo cual les brinda el control total del sistema objetivo".

El equipo encargado de analizar esta versión modificada determinó que dicha versión de PuTTY ya había sido identificada en 2013, sin embargo no había sido distribuida de forma masiva.

Afortunadamente, en esta ocasión tampoco se está distribuyendo a gran escala, no hay una campaña u objetivos en la mira de los atacantes. Los usuarios podrían descargar la versión modificada sólo si optan por buscarla a través de un motor de búsquedas y eligen descargar la aplicación de un sitio diferente al oficial.

"Hay evidencia que puede indicar a los usuarios que la versión de PuTTY es sospechosa, por ejemplo, el tamaño del archivo es mucho mayor que el de la versión oficial. Si los usuarios no prestan atención al tamaño del archivo podrían terminar con la versión maliciosa."

Otra forma de verificar si se instaló la versión maliciosa es revisar la sección "About" de la aplicación. El PuTTY modificado luce así:

Para asegurar que no te convertirás en una víctima de la versión maliciosa, asegúrate de descargar el cliente de SSH sólo desde el sitio oficial.