Hindistan merkezli Conceptworld isimli bir şirket tarafından geliştirilen üç farklı yazılım ürününün yükleyicileri, bilgi çalan kötü amaçlı yazılımları dağıtmak amacıyla truva atına dönüştürüldü.
Siber güvenlik firması Rapid7’ye göre yükleyiciler Notezilla, RecentX ve Copywhiz’e karşılık geliyor ve tedarik zinciri ihlalini 18 Haziran 2024’te keşfetti. Sorun, sorumlu bir açıklamadan sonra 24 Haziran itibarıyla Conceptworld tarafından 12 saat içinde giderildi.
Şirket, “Yükleyiciler, ek yükleri indirme ve yürütme yeteneğine sahip bilgi çalan kötü amaçlı yazılımları çalıştırmak için truva atına dönüştürülmüştü” dedi. söz konusuKötü amaçlı yazılım sürümlerinin, meşru olanlarına göre daha büyük dosya boyutuna sahip olduğu belirtildi.
Özellikle, kötü amaçlı yazılım tarayıcı kimlik bilgilerini ve kripto para cüzdanı bilgilerini çalmak, pano içeriklerini ve tuş vuruşlarını kaydetmek ve enfekte olmuş Windows ana bilgisayarlarına ek yükler indirmek ve yürütmek için donatılmıştır. Ayrıca, ana yükü her üç saatte bir yürütmek için zamanlanmış bir görev kullanarak kalıcılık kurar.
Şu anda resmi alan adı olan “conceptworld”ün nasıl kullanılacağı henüz net değil.[.]Sahte yükleyicileri sahnelemek için “.com” ihlal edildi. Ancak, başlatıldığında, kullanıcıdan gerçek yazılımla ilişkili yükleme işlemine devam etmesi istenirken, aynı zamanda bir toplu komut dosyası “dllCrt.bat” çalıştırmaktan sorumlu olan bir ikili “dllCrt32.exe”yi bırakıp çalıştırmak üzere tasarlanmıştır.
Makinede kalıcılık sağlamanın yanı sıra, başka bir dosyayı (“dllBus32.exe”) yürütmek üzere yapılandırılmıştır; bu da bir komut ve kontrol (C2) sunucusuyla bağlantı kurar ve hassas verileri çalmanın yanı sıra daha fazla yükü alıp çalıştırma işlevini içerir.
Bu, Google Chrome, Mozilla Firefox ve birden fazla kripto para cüzdanından (örneğin, Atomic, Coinomi, Electrum, Exodus ve Guarda) kimlik bilgilerini ve diğer bilgileri toplamayı içerir. Ayrıca, belirli bir uzantı kümesiyle eşleşen dosyaları (.txt, .doc, .png ve .jpg) toplayabilir, tuş vuruşlarını kaydedebilir ve panodaki içerikleri alabilir.
Rapid7, “Bu vakada gözlemlenen kötü amaçlı yükleyiciler imzasız ve meşru yükleyicinin kopyalarıyla tutarsız bir dosya boyutuna sahipler” dedi.
Haziran 2024’te Notezilla, RecentX veya Copywhiz için bir yükleyici indiren kullanıcıların, sistemlerinde herhangi bir tehlike belirtisi olup olmadığını incelemeleri ve kötü amaçlı değişiklikleri geri almak için etkilenen sistemlerin yeniden yapılandırılması gibi uygun önlemleri almaları önerilir.