长亭百川云 - 文章详情

软件生产力工具遭劫持,分发恶意软件

代码卫士

45

2024-07-13

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

6月份,印度软件公司 Conceptworld 被指其主打软件产品中封装了用于分发信息窃取的恶意软件。

该公司出售三款自动化逻辑软件工具:Notezilla,一款便利贴app;RecentX,一款用于存储最近使用的文件、文件夹、应用和剪贴板数据的工具;以及Copywhiz,用于复制、组织和备份文件的app。

几周前,Rapid7公司的研究人员发现,与这三款app 相关联的安装程序包已被木马化,偷偷携带初级的信息窃取恶意软件。Rapid7 公司在6月24日通知Conceptworld公司。12小时内,该公司删除了恶意安装程序并替换了合法的已签名版本。

0****1

劫持软件安装程序

为了将恶意软件偷偷放到用户下载的地方,攻击者嫁接了Conceptworld 公司的合法软件安装工具。Rapid7 公司的检测和响应工程师 Tyler McGraw 提到,虽然目前尚不清楚他们是怎么实现的,但“他们只需要能够获得托管这些下载的服务器上的swap文件访问权限即可。这可能通过利用厂商 Web 服务器上的漏洞等方式实现,从而实现任意文件上传。”

这就导致安装包未被签名,极其敏锐的用户可能会注意到所下载的文件要比公司官网上所述的大。否则,一般人无法发现其中的差异。初次执行后,用户将只能从合法而非恶意的下载工具中看到一条弹出消息。

0****2

dllFake

研究人员将该恶意软件命名为“dllFake”。在查看VirusTotal 提交报告时,他们发现虽然安装工具仅在6月初就出现,但dllFake 似乎属于至少在今年1月份就在野出现的尚未被命名的恶意软件家族。

该恶意程序能够窃取密币钱包、谷歌 Chrome 和 Mozilla Firefox 中的信息。它还能记录键击和剪贴板数据,并下载执行更多的 payload。

McGraw解释称,“该恶意软件的实现表明复杂度较低。例如,多个关键指标以明文文本形式出现,编译后的可执行文件仅限于批量脚本。实际上,唯一的C2地址内嵌在其中一个可执行文件(半混淆)中,它被存储在明文列表中的地址所覆写,因此它并未真正应用在成功的执行过程中,尽管是我们所观察到的唯一活跃的 SFTP服务器。”

他提醒称,“对于任何软件下载,尤其是免费软件的下载,都应该保持合理的怀疑。除了对比文件大小外,还可通过其它多种方式验证软件,如签名验证和哈希声誉等。用户也可使用很多免费沙箱提交软件并查看器执行行为。”

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com


推荐阅读

韩国 ERP 厂商服务被黑,用于传播 Xctdoor 恶意软件

新型恶意软件利用被暴露的 Docker API 挖矿

研究员展示恶意软件如何窃取 Windows Recall 数据

NPM恶意包利用招聘诱骗开发人员安装恶意软件

GitHub 评论被滥用于推送恶意软件

原文链接

https://www.darkreading.com/application-security/software-productivity-tools-hijacked-to-deliver-infostealers

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2