Hindistan merkezli Conceptworld isimli bir şirket tarafından geliştirilen üç farklı yazılım ürününün yükleyicileri, bilgi çalan kötü amaçlı yazılımları dağıtmak amacıyla truva atına dönüştürüldü.
Siber güvenlik firması Rapid7'ye göre yükleyiciler Notezilla, RecentX ve Copywhiz'e karşılık geliyor ve tedarik zinciri ihlalini 18 Haziran 2024'te keşfetti. Sorun, sorumlu bir açıklamadan sonra 24 Haziran itibarıyla Conceptworld tarafından 12 saat içinde giderildi.
Şirket, "Yükleyiciler, ek yükler indirip yürütme yeteneğine sahip bilgi çalan kötü amaçlı yazılımları çalıştırmak için truva atına dönüştürülmüştü" dedi. ve kötü amaçlı sürümlerin, meşru versiyonlarından daha büyük dosya boyutuna sahip olduğunu ekledi.
Özellikle, kötü amaçlı yazılım tarayıcı kimlik bilgilerini ve kripto para cüzdanı bilgilerini çalmak, pano içeriklerini ve tuş vuruşlarını kaydetmek ve enfekte olmuş Windows ana bilgisayarlarına ek yükler indirmek ve yürütmek için donatılmıştır. Ayrıca, ana yükü her üç saatte bir yürütmek için zamanlanmış bir görev kullanarak kalıcılık kurar.
Sahte yükleyicileri sahnelemek için resmi alan adı Conceptworld' un nasıl ihlal edildiği şu anda net değil. Ancak, başlatıldığında, kullanıcıdan gerçek yazılımla ilişkili yükleme işlemine devam etmesi istenirken, aynı zamanda bir toplu komut dosyası "dllCrt.bat" çalıştırmaktan sorumlu olan bir ikili "dllCrt32.exe"yi bırakıp çalıştırması için tasarlanmıştır.
Makinede kalıcılık sağlamanın yanı sıra, başka bir dosyayı ("dllBus32.exe") yürütmek üzere yapılandırılmıştır; bu da bir komut ve kontrol sunucusuyla bağlantı kurar ve hassas verileri çalmanın yanı sıra daha fazla yükü alıp çalıştırma işlevini içerir.
Bu, Google Chrome, Mozilla Firefox ve kripto para cüzdanlarından kimlik bilgilerini ve diğer bilgileri toplamasını içerir. Ayrıca, belirli bir uzantı kümesiyle eşleşen dosyaları toplayabilir, tuş vuruşlarını kaydedebilir ve panoda ki içerikleri alabilir.
Rapid7, "Burda gözlemlenen kötü amaçlı yazılımlar imzasız ve yükleyicinin kopyalarıyla tutarsız dosya boyutuna sahipler" dedi.
Haziran'da Notezilla, RecentX veya Copy whiz için bir yükleyici indirenlerin, sistemlerinde herhangi tehlike belirtisi olup olmadığını incelemeleri ve kötü amaçlı yazılımları geri almak için etkilenen sistemlerin yeniden yapılandırıllması gibi önlemleri almaları önerilir.
Eline sağlık