Los instaladores de tres productos de software diferentes desarrollados por una empresa india llamada Conceptworld han sido troyanizados para distribuir malware que roba información.
Los instaladores corresponden a Notezilla, RecentX y Copywhiz, según la firma de ciberseguridad Rapid7, que descubrió la vulneración de la cadena de suministro el 18 de junio de 2024. Desde entonces, Conceptworld ha solucionado el problema el 24 de junio, en las 12 horas siguientes a la divulgación responsable.
«Los instaladores habían sido troyanizados para ejecutar malware que roba información y tiene la capacidad de descargar y ejecutar cargas útiles adicionales», dijo la compañía. dichoagregando que las versiones maliciosas tenían un tamaño de archivo mayor que sus contrapartes legítimas.
En concreto, el malware está equipado para robar credenciales del navegador e información de la billetera de criptomonedas, registrar el contenido del portapapeles y las pulsaciones de teclas, y descargar y ejecutar cargas útiles adicionales en los hosts de Windows infectados. También configura la persistencia mediante una tarea programada para ejecutar la carga útil principal cada tres horas.
Actualmente no está claro cómo se creará el dominio oficial «conceptworld»[.]com» fue violado para preparar los instaladores falsificados. Sin embargo, una vez iniciado, se le solicita al usuario que continúe con el proceso de instalación asociado con el software real, mientras que también está diseñado para colocar y ejecutar un binario «dllCrt32.exe» que es responsable de ejecutar un script por lotes «dllCrt.bat».
Además de establecer persistencia en la máquina, está configurado para ejecutar otro archivo («dllBus32.exe»), que, a su vez, establece conexiones con un servidor de comando y control (C2) e incorpora funcionalidad para robar datos confidenciales, así como recuperar y ejecutar más cargas útiles.
Esto incluye la recopilación de credenciales y otra información de Google Chrome, Mozilla Firefox y múltiples billeteras de criptomonedas (por ejemplo, Atomic, Coinomi, Electrum, Exodus y Guarda). También es capaz de recolectar archivos que coincidan con un conjunto específico de extensiones (.txt, .doc, .png y .jpg), registrar pulsaciones de teclas y capturar el contenido del portapapeles.
«Los instaladores maliciosos observados en este caso no están firmados y tienen un tamaño de archivo que no coincide con las copias del instalador legítimo», afirmó Rapid7.
Se recomienda a los usuarios que hayan descargado un instalador de Notezilla, RecentX o Copywhiz en junio de 2024 que examinen sus sistemas en busca de signos de compromiso y tomen las medidas adecuadas (como volver a crear imágenes de los afectados) para deshacer las modificaciones nefastas.