Hindistan merkezli bir yazılım şirketi, Haziran ayında birincil yazılım ürünleriyle birlikte gelen bilgi hırsızlığı amaçlı kötü amaçlı yazılımları istemeden dağıttı.
Conceptworld Corporation üç adet otomatik mantıksal yazılım aracı satıyor: Yapışkan not uygulaması olan Notezilla; son kullanılan dosyaları, klasörleri, uygulamaları ve panodaki verileri depolamak için kullanılan bir araç olan RecentX; ve dosyaları kopyalamak, düzenlemek ve yedeklemek için kullanılan Copywhiz.
Birkaç hafta önce Rapid7’den araştırmacılar, üçüyle ilişkili kurulum paketlerinin gizlice Truva atına dönüştürüldüğünü keşfettiler. ilkel bilgi çalma kötü amaçlı yazılımları taşıyorRapid7, Conceptworld’ü 24 Haziran’da bilgilendirdi. Şirket, 12 saat içinde kötü amaçlı yükleyicileri kaldırdı ve bunları meşru, imzalı kopyalarla değiştirdi.
Yazılım Yükleyicilerini Ele Geçirme
Conceptworld saldırganları, kötü amaçlı yazılımlarını kullanıcıların indirebileceği yerlere gizlice yerleştirmek için şirketin meşru yazılım yükleyicilerini kendi yükleyicileriyle birleştirdiler.
Rapid7’nin tespit ve yanıt analisti Tyler McGraw, bunun tam olarak nasıl başarıldığının bilinmediğini, ancak “sadece indirmeleri barındıran sunucuda dosya alışverişi yapabilmek için erişime ihtiyaç duyacaklarını” söylüyor. Bu, örneğin, bir güvenlik açığının istismarı yoluyla “Satıcının Web sunucularında keyfi dosya yüklemesine izin vermek için.”
Sonuçta ortaya çıkan yükleyici paketleri imzalanmamıştı ve son derece dikkatli bir kullanıcı, indirdikleri şeyin şirketin web sitesinde belirtilen dosya boyutundan daha büyük olduğunu fark edebilirdi (kötü amaçlı yazılım ve bağımlılıkları yüzünden).
Aksi takdirde, birkaç işaret bir şeylerin ters gittiğini gösterirdi. İlk çalıştırmadan sonra, kullanıcı yalnızca meşru yükleyiciden bir açılır pencere görürdü, kötü amaçlı olandan değil.
dllSahte
Araştırmacılar, söz konusu kötü amaçlı yazılıma “dllFake” adını verdi. VirusTotal gönderilerini incelerken, yükleyicilerinin yalnızca Haziran başından beri var olduğunu, dllFake’in ise en azından Ocak ayından beri doğada bulunan, henüz adı konulmamış bir kötü amaçlı yazılım ailesine ait olduğunu keşfettiler.
Program şu şekildedir: bilgi çalma yeteneğine sahip kripto para cüzdanlarından ve Google Chrome ve Mozilla Firefox’tan. Ayrıca tuş vuruşlarını ve pano verilerini kaydedebilir ve daha fazla yük indirip çalıştırabilir.
“Kötü amaçlı yazılımın uygulanması düşük düzeyde bir karmaşıklık olduğunu gösteriyor,” diye açıklıyor McGraw. “Örneğin, anahtar göstergelerden birkaçı düz metinde bırakılmış ve derlenmiş yürütülebilir dosyaların kullanımı toplu komut dosyaları lehine sınırlandırılmış. Aslında, yürütülebilir dosyalardan birine yerleştirilmiş tek komut ve kontrol adresi (yarı-karıştırılmış) düz metin listesinde saklananlarla üzerine yazılmış ve bu nedenle, gözlemlenen tek etkin SFTP sunucularından biri olmasına rağmen, başarılı yürütme sırasında aslında kullanılmıyor.”
Genel olarak, “Herhangi bir yazılım indirmesi -özellikle de serbestçe erişilebilenler- meşruiyet belirlenene kadar uygun bir şüphe düzeyiyle ele alınmalıdır. Dosya boyutlarını karşılaştırmanın yanı sıra, dosyalar imza doğrulaması ve karma itibarı gibi çeşitli başka yollarla da doğrulanabilir. Ayrıca, kullanıcıların yazılım göndermesi ve yürütme davranışını görüntülemesi için birçok serbestçe erişilebilen sanal alan da mevcuttur.” uyarısında bulunur.
