Instalační programy pro tři různé softwarové produkty vyvinuté indickou společností Conceptworld byly trojanizovány za účelem distribuce malwaru kradoucího informace.
Instalátory společností Notezilla, RecentX a Copywhiz, podle firmy Rapid7, která se zabývá kybernetickou bezpečností a která objevila kompromitaci dodavatelského řetězce 18. června 2024. Problém byl od té doby napraven společností Conceptworld k 24. červnu do 12 hodin od odpovědného zveřejnění.
„Instalační programy byly trojanizovány tak, aby spouštěly malware kradoucí informace, který má schopnost stahovat a spouštět další užitečné zatížení,“ uvedla společnost a dodala, že škodlivé verze měly větší velikost souboru než jejich legitimní protějšky.
Konkrétně je malware vybaven tak, aby kradl přihlašovací údaje prohlížeče a informace o kryptoměnové peněžence, zaznamenával obsah schránky a stisky kláves a stahoval a spouštěl další užitečné zatížení na infikovaných hostitelích Windows. Nastaví také trvalost pomocí naplánované úlohy, která spustí hlavní datovou část každé tři hodiny.
V současné době není jasné, jak oficiální doména „conceptworld. Com“ byla porušena, aby se zinscenovaly padělané instalační programy. Po spuštění je však uživatel vyzván, aby pokračoval v procesu instalace spojeném se skutečným softwarem, přičemž je také navržen tak, aby zahodil a spustil binární „dllCrt32.exe“, který je zodpovědný za spuštění dávkového skriptu „dllCrt.bat“.
Kromě toho, že na počítači vytváří trvalé infikování, je nakonfigurován tak, aby spouštěl další soubor („dllBus32.exe“), který zase naváže spojení se serverem C2 (command-and-control) a zahrnuje funkce pro krádež citlivých dat a také načítání a spouštění dalších datových částí.
To zahrnuje shromažďování přihlašovacích údajů a dalších informací z prohlížečů Google Chrome, Mozilla Firefox a více kryptoměnových peněženek (např. Atomic, Coinomi, Electrum, Exodus a Guarda). Je také schopen sklízet soubory odpovídající konkrétní sadě přípon (.txt, .doc, .png a .jpg), zaznamenávat stisky kláves a uchopit obsah schránky.
„Škodlivé instalátory, které byly v tomto případě pozorovány, jsou nepodepsané a mají velikost souboru, která je nekonzistentní s kopiemi legitimního instalátoru,“ řekl Rapid7.
Uživatelům, kteří si v červnu 2024 stáhli instalační program pro Notezilla, RecentX nebo Copywhiz, se doporučuje, aby prozkoumali své systémy, zda nevykazují známky kompromitace, a podnikli příslušné kroky – například znovu zobrazovali postižené – k nápravě hanebných úprav.
Zdroj: thehackernews.com
Obrázek: rapid7.com