Produtos de empresa de software program indiana são hackeados para espalhar malware que rouba dados
Instaladores de três produtos de software program diferentes desenvolvidos por uma empresa indiana chamada Conceptworld foram infectados por trojans para distribuir malware que rouba informações.
Os instaladores correspondem ao Notezilla, RecentX e Copywhiz, de acordo com a empresa de segurança cibernética Rapid7, que descobriu o comprometimento da cadeia de suprimentos em 18 de junho de 2024. O problema foi corrigido pela Conceptworld em 24 de junho, dentro de 12 horas após a divulgação responsável.
“Os instaladores foram trojanizados para executar malware que rouba informações e tem a capacidade de baixar e executar cargas adicionais”, disse a empresa, acrescentando que as versões maliciosas tinham um tamanho de arquivo maior do que suas versões legítimas.
Especificamente, o malware é equipado para roubar credenciais do navegador e informações de carteira de criptomoedas, registrar conteúdos da área de transferência e pressionamentos de tecla, e baixar e executar payloads adicionais em hosts Home windows infectados. Ele também configura persistência usando uma tarefa agendada para executar o payload principal a cada três horas.
Atualmente não está claro como o domínio oficial “conceptworld(.)com” foi violado para encenar os instaladores falsificados. No entanto, uma vez iniciado, o usuário é solicitado a prosseguir com o processo de instalação associado ao software program actual, enquanto ele também é projetado para soltar e executar um binário “dllCrt32.exe” que é responsável por executar um script em lote “dllCrt.bat”.
Além de estabelecer persistência na máquina, ele é configurado para executar outro arquivo (“dllBus32.exe”), que, por sua vez, estabelece conexões com um servidor de comando e controle (C2) e incorpora funcionalidade para roubar dados confidenciais, bem como recuperar e executar mais cargas úteis.
Isso inclui coletar credenciais e outras informações do Google Chrome, Mozilla Firefox e várias carteiras de criptomoedas (por exemplo, Atomic, Coinomi, Electrum, Exodus e Guarda). Ele também é capaz de coletar arquivos que correspondem a um conjunto específico de extensões (.txt, .doc, .png e .jpg), registrar pressionamentos de tecla e capturar conteúdos da área de transferência.
“Os instaladores maliciosos observados neste caso não são assinados e têm um tamanho de arquivo inconsistente com as cópias do instalador legítimo”, disse Rapid7.
Recomenda-se que usuários que baixaram um instalador para Notezilla, RecentX ou Copywhiz em junho de 2024 examinem seus sistemas em busca de sinais de comprometimento e tomem as medidas adequadas – como recriar a imagem dos afetados – para desfazer as modificações nefastas.
