Les produits d’une société indienne de logiciels piratés pour diffuser des logiciels malveillants de vol de données
Les programmes d’installation de trois produits logiciels différents développés par une société indienne appelée Conceptworld ont été trojanisés pour distribuer des logiciels malveillants volant des informations.
Les installateurs correspondent à Notezilla, RecentX et Copywhiz, selon la société de cybersécurité Rapid7, qui a découvert la compromission de la chaîne d’approvisionnement le 18 juin 2024. Le problème a depuis été résolu par Conceptworld le 24 juin dans les 12 heures suivant la divulgation responsable.
« Les installateurs avaient été trojanisés pour exécuter des logiciels malveillants de vol d’informations capables de télécharger et d’exécuter des charges utiles supplémentaires », a déclaré la société, ajoutant que les versions malveillantes avaient une taille de fichier plus grande que leurs homologues légitimes.
Plus précisément, le malware est équipé pour voler les identifiants du navigateur et les informations du portefeuille de cryptomonnaie, enregistrer le contenu du presse-papiers et les frappes au clavier, et télécharger et exécuter des charges utiles supplémentaires sur les hôtes Windows infectés. Il met également en place la persistance à l’aide d’une tâche planifiée pour exécuter la charge utile principale toutes les trois heures.
Il n’est actuellement pas clair comment le domaine officiel « conceptworld[.]Le site Web « .com » a été piraté pour mettre en place les programmes d’installation contrefaits. Cependant, une fois lancé, l’utilisateur est invité à poursuivre le processus d’installation associé au logiciel réel, tandis qu’il est également conçu pour déposer et exécuter un binaire « dllCrt32.exe » qui est responsable de l’exécution d’un script batch « dllCrt.bat ».
Outre l’établissement de la persistance sur la machine, elle est configurée pour exécuter un autre fichier (« dllBus32.exe »), qui, à son tour, établit des connexions avec un serveur de commande et de contrôle (C2) et intègre des fonctionnalités permettant de voler des données sensibles ainsi que de récupérer et d’exécuter davantage de charges utiles.
Cela comprend la collecte d’identifiants et d’autres informations à partir de Google Chrome, Mozilla Firefox et de plusieurs portefeuilles de cryptomonnaies (par exemple, Atomic, Coinomi, Electrum, Exodus et Guarda). Il est également capable de collecter des fichiers correspondant à un ensemble spécifique d’extensions (.txt, .doc, .png et .jpg), d’enregistrer les frappes au clavier et de récupérer le contenu du presse-papiers.
« Les installateurs malveillants observés dans ce cas ne sont pas signés et ont une taille de fichier incompatible avec les copies de l’installateur légitime », a déclaré Rapid7.
Il est recommandé aux utilisateurs qui ont téléchargé un programme d’installation pour Notezilla, RecentX ou Copywhiz en juin 2024 d’examiner leurs systèmes à la recherche de signes de compromission et de prendre les mesures appropriées, comme la réimagerie des systèmes concernés, pour annuler les modifications néfastes.