01 de julio de 2024Sala de prensaAtaque a la cadena de suministro / Inteligencia de amenazas Los instaladores de tres productos de software diferentes desarrollados por una empresa india llamada Conceptworld han sido troyanizados para distribuir malware que roba información. Los instaladores corresponden a Notezilla, RecentX y Copywhiz, según la firma de ciberseguridad Rapid7, que descubrió la vulneración de la cadena de suministro el 18 de junio de 2024. Desde entonces, Conceptworld ha solucionado el problema a partir del 24 de junio en las 12 horas siguientes a la divulgación responsable. «Los instaladores habían sido troyanizados para ejecutar malware que roba información y que tiene la capacidad de descargar y ejecutar cargas útiles adicionales», dijo la empresa, y agregó que las versiones maliciosas tenían un tamaño de archivo mayor que sus contrapartes legítimas. Específicamente, el malware está equipado para robar credenciales del navegador e información de la billetera de criptomonedas, registrar el contenido del portapapeles y las pulsaciones de teclas, y descargar y ejecutar cargas útiles adicionales en hosts de Windows infectados. También configura la persistencia mediante una tarea programada para ejecutar la carga útil principal cada tres horas. Actualmente no está claro cómo se creará el dominio oficial «conceptworld»[.]com» fue violado para preparar los instaladores falsificados. Sin embargo, una vez instalado, se le solicita al usuario que continúe con el proceso de instalación asociado con el software real, mientras que también está diseñado para colocar y ejecutar un binario «dllCrt32.exe» que es responsable de ejecutar un script por lotes «dllCrt.bat». Además de establecer la persistencia en la máquina, está configurado para ejecutar otro archivo («dllBus32.exe»), que, a su vez, establece conexiones con un servidor de comando y control (C2) e incorpora funcionalidad para robar datos confidenciales, así como recuperar y ejecutar más cargas útiles. Esto incluye la recopilación de credenciales y otra información de Google Chrome, Mozilla Firefox y múltiples billeteras de criptomonedas (por ejemplo, Atomic, Coinomi, Electrum, Exodus y Guarda). También es capaz de recolectar archivos que coincidan con un conjunto específico de extensiones (.txt, .doc, .png y .jpg), registrar pulsaciones de teclas y capturar el contenido del portapapeles. «Los instaladores maliciosos observados en este caso no están firmados y tienen un «El tamaño del archivo es inconsistente con las copias del instalador legítimo», dijo Rapid7. Se recomienda a los usuarios que hayan descargado un instalador para Notezilla, RecentX o Copywhiz en junio de 2024 que examinen sus sistemas en busca de signos de compromiso y tomen las medidas adecuadas, como volver a crear una imagen de los afectados, para deshacer las modificaciones nefastas. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.