В продължение на седмици безобидни малки програми за Windows пренасят евтин зловреден софтуер, който излага клиентите на базирания в Индия доставчик на софтуер на риск от кражба на данни.
През юни базирана в Индия софтуерна компания по невнимание разпространявала зловреден софтуер за кражба на информация, пакетиран с основните ѝ софтуерни продукти.
Conceptworld Corporation продава три автологични софтуерни инструмента: Notezilla – приложение за лепящи се бележки; RecentX – инструмент за съхраняване на последно използвани файлове, папки, приложения и данни от клипборда; и Copywhiz – за копиране, организиране и архивиране на файлове.
Преди няколко седмици изследователи от Rapid7 откриха, че инсталационните пакети, свързани с трите приложения, са били троянски, като тайно са носели елементарен зловреден софтуер за кражба на информация. Rapid7 информира Conceptworld на 24 юни. В рамките на 12 часа компанията премахна зловредните инсталационни програми и ги замени с легитимни, подписани копия.
За да промъкнат зловредния си софтуер там, където потребителите ще го изтеглят, нападателите на Conceptworld са се ориентирали към легитимните инсталатори на софтуера на компанията.
Как точно са постигнали това, не е известно, казва Тайлър Макгроу, анализатор по откриване и реагиране за Rapid7, но „те се нуждаят от достъп само за да могат да разменят файловете на сървъра, който хоства изтеглянията. Това би могло да се постигне например чрез използване на уязвимост в уеб сървърите на доставчика, която позволява произволно качване на файлове“.
Получените инсталационни пакети не бяха подписани и един изключително наблюдателен потребител можеше да забележи, че изтегленото от него е по-голямо от размера на файла, посочен на уебсайта на компанията (благодарение на зловредния софтуер и неговите зависимости).
В противен случай малко признаци биха показали, че нещо не е наред. След първоначалното изпълнение потребителят би видял само изскачащ прозорец от легитимния инсталатор, а не от зловредния.
Изследователите са нарекли въпросния зловреден софтуер „dllFake“. При прегледа на подадените данни във VirusTotal те откриха, че макар инсталаторите му да са разпространени едва от началото на юни, dllFake изглежда принадлежи към все още неназовано семейство зловреден софтуер, който е в екосистемата поне от януари.
Програмата е способна да краде информация от портфейли за криптовалути, както и от Google Chrome и Mozilla Firefox. Тя може също така да регистрира натискания на клавиши и данни от клипборда, както и да изтегля и изпълнява допълнителни товари.
„Изпълнението на зловредния софтуер предполага ниско ниво на сложност“, обяснява Макгроу. „Например няколко от ключовите индикатори са оставени в обикновен текст, а използването на компилирани изпълними файлове е ограничено в полза на пакетни скриптове. Всъщност единственият адрес за команди и управление, вграден в един от изпълнимите файлове (полуобускулиран), е презаписан с тези, които се съхраняват в списък с обикновен текст, и по този начин той всъщност не се използва по време на успешното изпълнение, въпреки че е един от единствените наблюдавани активни SFTP сървъри.“
Като цяло той предупреждава: „Към всяко изтегляне на софтуер – особено към свободно достъпните – трябва да се подхожда със съответното ниво на подозрение, докато не се определи легитимността. Освен чрез сравняване на размерите на файловете, те могат да бъдат проверявани и по няколко други начина, като например валидиране на подписи и репутация на хешове. На разположение са и много свободно достъпни сенд боксове, в които потребителите могат да изпращат софтуер и да преглеждат поведението му при изпълнение.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.