Herramientas de productividad de software secuestradas para proporcionar ladrones de información

Herramientas de productividad de software secuestradas para proporcionar ladrones de información

En junio, una empresa de software con sede en India distribuyó inadvertidamente malware para robar información incluido en sus principales productos de software.

Conceptworld Corporation vende tres herramientas de software de lógica automática: Noteilla, una aplicación de notas adhesivas; RecentX, una herramienta para almacenar archivos, carpetas, aplicaciones y datos del portapapeles usados ​​recientemente; y Copywhiz, utilizado para copiar, organizar y realizar copias de seguridad de archivos.

Hace unas semanas, los investigadores de Rapid7 descubrieron que los paquetes de instalación asociados con los tres habían sido troyanizados, en secreto. llevar malware rudimentario para robar información. Rapid7 informó a Conceptworld el 24 de junio. En 12 horas, la empresa eliminó los instaladores maliciosos y los reemplazó con copias legítimas firmadas.

Instaladores de software secuestradores

Para distribuir su malware donde los usuarios lo descargarían, los atacantes de Conceptworld combinaron los instaladores de software legítimos de la empresa con los suyos propios.

No está claro cómo lograron esto, dice Tyler McGraw, analista de detección y respuesta de Rapid7, pero «sólo necesitarían acceso para poder intercambiar archivos en el servidor que aloja las descargas». Esto podría lograrse, por ejemplo, mediante la explotación de una vulnerabilidad en los servidores web del proveedor para permitir la descarga de archivos arbitrarios.

Los paquetes de instalación resultantes no estaban firmados y un usuario extremadamente atento podría haber notado que lo que descargaron era más grande que el tamaño del archivo que figura en el sitio web de la empresa (gracias al malware y sus dependencias).

De lo contrario, habría habido pocas señales de que algo andaba mal. Después de la ejecución inicial, el usuario sólo verá una ventana emergente del instalador legítimo, no del malware.

dllFalso

Los investigadores denominaron al malware en cuestión «dllFake». Al examinar los archivos enviados a VirusTotal, descubrieron que, aunque sus instaladores solo existen desde principios de junio, dllFake parece pertenecer a una familia de malware previamente desconocida que ha estado disponible desde al menos enero.

El programa es capaz de robar información desde billeteras de criptomonedas, así como desde Google Chrome y Mozilla Firefox. También puede registrar pulsaciones de teclas y datos del portapapeles, y descargar y ejecutar otras cargas útiles.

«La implementación del malware sugiere un bajo nivel de sofisticación», afirma McGraw. “Por ejemplo, varios indicadores clave se han dejado en texto plano y el uso de ejecutables compilados se limita a favor de scripts por lotes. De hecho, la única dirección de comando y control incrustada en uno de los ejecutables (semi-ofuscada) es sobrescrita por aquellas almacenadas en una lista de texto sin formato y, por lo tanto, en realidad no se utiliza durante una ejecución exitosa, a pesar de ser una de las únicas activas. Servidores SFTP observados. »

En general, advierte, «cualquier descarga de software, especialmente aquellas que están disponibles gratuitamente, deben ser tratadas con un nivel apropiado de sospecha hasta que se pueda determinar su legitimidad». Además de comparar el tamaño de los archivos, los archivos también se pueden verificar de otras formas, como la validación de firmas y la reputación de hash. Muchas zonas de pruebas disponibles gratuitamente también están disponibles para que los usuarios envíen software y vean su comportamiento de ejecución. »