Търсене
Close this search box.

В продължение на седмици безобидни малки програми за Windows пренасят евтин зловреден софтуер, който излага клиентите на базирания в Индия доставчик на софтуер на риск от кражба на данни.

През юни базирана в Индия софтуерна компания по невнимание разпространявала зловреден софтуер за кражба на информация, пакетиран с основните ѝ софтуерни продукти.

Conceptworld Corporation продава три автологични софтуерни инструмента: Notezilla – приложение за лепящи се бележки; RecentX – инструмент за съхраняване на последно използвани файлове, папки, приложения и данни от клипборда; и Copywhiz – за копиране, организиране и архивиране на файлове.

Преди няколко седмици изследователи от Rapid7 откриха, че инсталационните пакети, свързани с трите приложения, са били троянски, като тайно са носели елементарен зловреден софтуер за кражба на информация. Rapid7 информира Conceptworld на 24 юни. В рамките на 12 часа компанията премахна зловредните инсталационни програми и ги замени с легитимни, подписани копия.

Инсталатори за отвличане на софтуер

За да промъкнат зловредния си софтуер там, където потребителите ще го изтеглят, нападателите на Conceptworld са се ориентирали към легитимните инсталатори на софтуера на компанията.

Как точно са постигнали това, не е известно, казва Тайлър Макгроу, анализатор по откриване и реагиране за Rapid7, но „те се нуждаят от достъп само за да могат да разменят файловете на сървъра, който хоства изтеглянията. Това би могло да се постигне например чрез използване на уязвимост в уеб сървърите на доставчика, която позволява произволно качване на файлове“.

Получените инсталационни пакети не бяха подписани и един изключително наблюдателен потребител можеше да забележи, че изтегленото от него е по-голямо от размера на файла, посочен на уебсайта на компанията (благодарение на зловредния софтуер и неговите зависимости).

В противен случай малко признаци биха показали, че нещо не е наред. След първоначалното изпълнение потребителят би видял само изскачащ прозорец от легитимния инсталатор, а не от зловредния.

dllFake

Изследователите са нарекли въпросния зловреден софтуер „dllFake“. При прегледа на подадените данни във VirusTotal те откриха, че макар инсталаторите му да са разпространени едва от началото на юни, dllFake изглежда принадлежи към все още неназовано семейство зловреден софтуер, който е в екосистемата поне от януари.

Програмата е способна да краде информация от портфейли за криптовалути, както и от Google Chrome и Mozilla Firefox. Тя може също така да регистрира натискания на клавиши и данни от клипборда, както и да изтегля и изпълнява допълнителни  товари.

„Изпълнението на зловредния софтуер предполага ниско ниво на сложност“, обяснява Макгроу. „Например няколко от ключовите индикатори са оставени в обикновен текст, а използването на компилирани изпълними файлове е ограничено в полза на пакетни скриптове. Всъщност единственият адрес за команди и управление, вграден в един от изпълнимите файлове (полуобускулиран), е презаписан с тези, които се съхраняват в списък с обикновен текст, и по този начин той всъщност не се използва по време на успешното изпълнение, въпреки че е един от единствените наблюдавани активни SFTP сървъри.“

Като цяло той предупреждава: „Към всяко изтегляне на софтуер – особено към свободно достъпните – трябва да се подхожда със съответното ниво на подозрение, докато не се определи легитимността. Освен чрез сравняване на размерите на файловете, те могат да бъдат проверявани и по няколко други начина, като например валидиране на подписи и репутация на хешове. На разположение са и много свободно достъпни сенд боксове, в които потребителите могат да изпращат софтуер и да преглеждат поведението му при изпълнение.“

 

Източник: DARKReading

Подобни публикации

12 октомври 2024

SOC: Инструментите за откриване на заплахи ни з...

Специалистите от оперативните центрове за сигурност (SOC) изпитват ...
11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
Бъдете социални
Още по темата
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
Последно добавени
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!