Installatieprogramma’s voor drie verschillende softwareproducten die zijn ontwikkeld door het Indiase bedrijf Conceptworld, zijn getrojaned om malware te verspreiden die informatie steelt.
Volgens cybersecuritybedrijf Rapid7, dat de inbreuk op de toeleveringsketen op 18 juni 2024 ontdekte, zijn de installateurs Notezilla, RecentX en Copywhiz. Het probleem is inmiddels binnen 12 uur na verantwoorde openbaarmaking door Conceptworld opgelost.
“De installatieprogramma’s waren getrojaned om malware uit te voeren die informatie steelt en extra payloads kan downloaden en uitvoeren”, aldus het bedrijf. De kwaadaardige versies hadden bovendien een grotere bestandsgrootte dan hun legitieme tegenhangers.
De malware is specifiek uitgerust om browserreferenties en cryptocurrency wallet-informatie te stelen, klembordinhoud en toetsaanslagen te loggen en extra payloads te downloaden en uit te voeren op geïnfecteerde Windows-hosts. Het stelt ook persistentie in met behulp van een geplande taak om de hoofdpayload elke drie uur uit te voeren.
Het is momenteel niet duidelijk hoe het officiële domein “conceptworld(.)com” is gehackt om de namaak-installatieprogramma’s in scène te zetten. Echter, zodra het is gestart, wordt de gebruiker gevraagd om door te gaan met het installatieproces dat is gekoppeld aan de daadwerkelijke software, terwijl het ook is ontworpen om een binair “dllCrt32.exe” te droppen en uit te voeren dat verantwoordelijk is voor het uitvoeren van een batchscript “dllCrt.bat.”
Naast het instellen van persistentie op de machine, is het geconfigureerd om een ander bestand (“dllBus32.exe”) uit te voeren, dat op zijn beurt verbindingen tot stand brengt met een command-and-control (C2)-server en functionaliteit bevat om gevoelige gegevens te stelen en meer payloads op te halen en uit te voeren.
Dit omvat het verzamelen van referenties en andere informatie van Google Chrome, Mozilla Firefox en meerdere cryptocurrency wallets (bijv. Atomic, Coinomi, Electrum, Exodus en Guarda). Het is ook in staat om bestanden te verzamelen die overeenkomen met een specifieke set extensies (.txt, .doc, .png en .jpg), toetsaanslagen te registreren en de inhoud van het klembord te pakken.
“De kwaadaardige installatieprogramma’s die in dit geval zijn aangetroffen, zijn niet ondertekend en hebben een bestandsgrootte die niet overeenkomt met de kopieën van het legitieme installatieprogramma”, aldus Rapid7.
Gebruikers die in juni 2024 een installatieprogramma voor Notezilla, RecentX of Copywhiz hebben gedownload, wordt aangeraden hun systemen te onderzoeken op tekenen van inbreuk en passende maatregelen te nemen (zoals het opnieuw installeren van een image van de getroffen systemen) om de kwaadaardige wijzigingen ongedaan te maken.
