Hint Yazılım Firmasının Ürünleri Veri Çalan Kötü Amaçlı Yazılımları Yaymak İçin Hacklendi


01 Temmuz 2024Haber odasıTedarik Zinciri Saldırısı / Tehdit İstihbaratı

Veri Çalan Kötü Amaçlı Yazılım

Conceptworld adlı Hintli bir şirket tarafından geliştirilen üç farklı yazılım ürününün yükleyicileri, bilgi çalan kötü amaçlı yazılımları dağıtmak üzere truva atına maruz bırakıldı.

Tedarik zincirindeki uzlaşmazlığı 18 Haziran 2024’te keşfeden siber güvenlik firması Rapid7’ye göre kurulumcular Notezilla, LastX ve Copywhiz’e karşılık geliyor. Sorun, 24 Haziran itibarıyla Conceptworld tarafından sorumlu açıklamanın ardından 12 saat içinde düzeltildi.

Şirket, “Yükleyicilere, ek yük indirme ve yürütme kapasitesine sahip, bilgi çalan kötü amaçlı yazılımları çalıştırmak üzere truva atı bulaştırıldı” dedi ve kötü amaçlı sürümlerin meşru benzerlerinden daha büyük dosya boyutuna sahip olduğunu ekledi.

Özellikle, kötü amaçlı yazılım, tarayıcı kimlik bilgilerini ve kripto para cüzdanı bilgilerini çalmak, pano içeriklerini ve tuş vuruşlarını günlüğe kaydetmek ve virüslü Windows ana bilgisayarlarına ek yükler indirip yürütmek için donatılmıştır. Ayrıca ana yükü her üç saatte bir yürütmek için zamanlanmış bir görev kullanarak kalıcılığı da ayarlar.

Siber güvenlik

Şu anda resmi alan adı olan “conceptworld”ün nasıl olduğu belli değil.[.]Sahte yükleyicileri sahnelemek için “.com” ihlal edildi. Ancak, yüklendikten sonra, kullanıcıdan gerçek yazılımla ilişkili yükleme işlemine devam etmesi istenirken, aynı zamanda bir toplu komut dosyası “dllCrt.bat” çalıştırmaktan sorumlu olan bir ikili “dllCrt32.exe”yi bırakıp çalıştırmak üzere tasarlanmıştır.

Makinede kalıcılık sağlamanın yanı sıra, başka bir dosyayı (“dllBus32.exe”) yürütmek üzere yapılandırılmıştır; bu da bir komut ve kontrol (C2) sunucusuyla bağlantı kurar ve hassas verileri çalmanın yanı sıra daha fazla yükü alıp çalıştırma işlevini içerir.

Bu, Google Chrome, Mozilla Firefox ve birden fazla kripto para cüzdanından (örneğin, Atomic, Coinomi, Electrum, Exodus ve Guarda) kimlik bilgilerini ve diğer bilgileri toplamayı içerir. Ayrıca, belirli bir uzantı kümesiyle eşleşen dosyaları (.txt, .doc, .png ve .jpg) toplayabilir, tuş vuruşlarını kaydedebilir ve panodaki içerikleri alabilir.

Rapid7, “Bu vakada gözlemlenen kötü amaçlı yükleyiciler imzasız ve meşru yükleyicinin kopyalarıyla tutarsız bir dosya boyutuna sahipler” dedi.

Haziran 2024’te Notezilla, RecentX veya Copywhiz için bir yükleyici indiren kullanıcıların, sistemlerinde herhangi bir tehlike belirtisi olup olmadığını incelemeleri ve kötü amaçlı değişiklikleri geri almak için etkilenen sistemlerin yeniden yapılandırılması gibi uygun önlemleri almaları önerilir.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve daha özel içeriklerimizi okumak için LinkedIn’i ziyaret edin.





Source link