Un actor de amenazas probablemente relacionado con China ha sido atribuido a un nuevo ataque a la cadena de suministro que implica el uso de un instalador troyano para la aplicaci\u00f3n Comm100 Live Chat para distribuir una puerta trasera de JavaScript.<\/p>\n
La firma de seguridad cibern\u00e9tica CrowdStrike dijo que el ataque utiliz\u00f3 una aplicaci\u00f3n de agente de escritorio Comm100 firmada para Windows que se pod\u00eda descargar desde el sitio web de la compa\u00f1\u00eda.<\/p>\n
Actualmente se desconoce la escala del ataque, pero se dice que el archivo troyano se identific\u00f3 en organizaciones de los sectores industrial, sanitario, tecnol\u00f3gico, manufacturero, de seguros y de telecomunicaciones en Am\u00e9rica del Norte y Europa.<\/p>\n
Comm100 es un proveedor canadiense de chat de audio\/video en vivo y software de interacci\u00f3n con el cliente para empresas. Eso reclamaci\u00f3n (es<\/a> tener m\u00e1s de 15.000 clientes en 51 pa\u00edses.<\/p>\n “El instalador se firm\u00f3 el 26 de septiembre de 2022 a las 14:54:00 UTC con un certificado v\u00e1lido de Comm100 Network Corporation”, dijo la empresa. se\u00f1alado<\/a>agregando que permaneci\u00f3 disponible hasta el 29 de septiembre.<\/p>\n Incrustado dentro del ejecutable armado hay un implante basado en JavaScript que ejecuta un c\u00f3digo JavaScript de segunda etapa alojado en un servidor remoto, que est\u00e1 dise\u00f1ado para proporcionar al actor una funcionalidad de shell remota subrepticia.<\/p>\n Tambi\u00e9n se implement\u00f3 como parte de la actividad posterior a la explotaci\u00f3n una DLL de cargador malicioso llamada MidlrtMd.dll que inicia un c\u00f3digo de shell en memoria para inyectar una carga incrustada en un nuevo proceso de Bloc de notas.<\/p>\n Los compromisos de la cadena de suministro, como el de SolarWinds y Kaseya, se est\u00e1n convirtiendo en una estrategia cada vez m\u00e1s lucrativa para que los actores de amenazas apunten a un proveedor de software ampliamente utilizado para hacerse un hueco en las redes de los clientes intermedios.<\/p>\n Al momento de escribir, ninguno de los proveedores de seguridad marcar el instalador<\/a> como malicioso. Tras la divulgaci\u00f3n responsable, el problema se ha abordado desde entonces con la publicaci\u00f3n de un instalador actualizado<\/a> (10.0.9).<\/p>\n CrowdStrike ha vinculado el ataque con confianza moderada a un actor con un nexo con China en funci\u00f3n de la presencia de comentarios en idioma chino en el malware y la orientaci\u00f3n de entidades de juegos de azar en l\u00ednea en el este y sudeste de Asia, un \u00e1rea de inter\u00e9s ya establecida para China. actores de intrusi\u00f3n.<\/p>\n Dicho esto, la carga \u00fatil entregada en esta actividad difiere de otras familias de malware previamente identificadas como operadas por el grupo, lo que sugiere una expansi\u00f3n de su arsenal ofensivo.<\/p>\n CrowdStrike no revel\u00f3 el nombre del adversario, pero los TTP apuntan en la direcci\u00f3n de un actor de amenazas llamado Tierra Berberoka<\/a> (tambi\u00e9n conocido como GamblingPuppet), que a principios de este a\u00f1o se descubri\u00f3 usando una aplicaci\u00f3n de chat falsa llamada MiMi en sus ataques contra la industria del juego.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n![\"Charla](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1664863724_868_Proveedor-de-chat-Comm100-secuestrado-para-propagar-malware-en-un.jpg\" "\\"Charla")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n