El cargador de baterías de Energizer contiene una puerta trasera que facilita el acceso remoto a una PC

El equipo de respuestas de seguridad de cómputo de los Estados Unidos (US-CERT) advirtió que el software incluido en el cargador de pilas USB Energizer DUO contiene una puerta trasera que permite el acceso no autorizado desde un sistema remoto. 

En un comunicado,  US-CERT advirtió que el programa de instalación del cargador Energizer DUO  coloca el archivo UsbCharger.dll dentro del directorio de la aplicación y Arucer.dll en el directorio system32 de Windows. 

Cuando el software Energizer UsbCharger se ejecuta, utiliza el componente de UsbCharger.dll para proporcionar capacidades de comunicación USB. A su vez UsbCharger.dll correArucer.dll a través del mecanismo rundll32.exe de Windows, y también configura Arucer.dll para que se ejecute automáticamente cuando se inicia Windows ,  creando una entrada la entrada  HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run en el registro del sistema.

US-CERT menciona que Arucer.dll  es una puerta trasera que permite el acceso remoto no autorizado al aceptar conexiones en 7777/tcp. 

He aquí el mayor riesgo: 

Un atacante es capaz de controlar de forma remota un sistema, incluyendo la capacidad de enlistar directorios, enviar y recibir archivos, y ejecutar programas. La puerta trasera funciona con los privilegios del usuario conectado.

Investigadores anti-malware de Symantec  describieron de forma detallada la descubierta del Troyano. 

Energizer emitió una declaración donde reconoce el problema. La compañía dijo que suspendió  la venta de este producto y quito de su sitio la descarga del software. Además, Energizer recomendó a todos sus usuarios que descargaron el programa para Windows desinstalar o retirar de algún otro modo el software de su computadora. 

RETIRE EL SOFTWARE:

Según US-CERT, el componente de puerta trasera dentro del software del cargador Energizer puede ser eliminado para remover el archivo Arucer.dll desde el directorio system32 de Windows. Debido a que la puerta trasera, es hospedada  por rundll32.exe, esta continúa funcionando aún después de que el software ha sido desinstalado, por lo que puede ser necesario reiniciar Windows antes de que este archivo sea eliminado.

Los usuarios afectados también deberán bloquear el acceso a 7777/tcp. Esto ayuda a mitigar esta vulnerabilidad mediante la prevención de la conectividad de red a la puerta trasera. 

Esto puede lograrse con dispositivos dentro del perímetro de la red o usando muros de fuego. El software del cargador USB Energizer no agrega automáticamente una excepción al Firewall de Windows para 7777/tcp o para la aplicación de puerta trasera. Por lo tanto, la primera vez que se ejecuta el programa Energizer UsbCharger, el Firewall de Windows pedirá al usuario que ejecute el archivo DLL como aplicación.