18 июня компания Rapid7 https://www.rapid7.com/blog/post/202...news.risky.bizподозрительной активности у одного из своих клиентов. Выяснилось, что источником проблемы стала установка программы Notezilla для создания заметок на рабочем столе.
Инсталляторы для Notezilla, а также для программ RecentX и Copywhiz, распространяемых индийской компанией Conceptworld через официальный сайт conceptworld[.]com, были заражены вредоносным ПО, способным скачивать и выполнять дополнительные файлы.
24 июня 2024 года Rapid7 связалась с Conceptworld и сообщила о проблеме. Conceptworld оперативно устранила угрозу и уже через 12 часов заменила вредоносные инсталляторы на подлинные, подписанные копии.
Conceptworld предлагает три программных продукта:<ul><li>Notezilla для создания заметок на рабочем столе Windows;</li>
</ul><ul><li>RecentX для хранения недавно использованных файлов и данных буфера обмена;</li>
</ul><ul><li>Copywhiz для улучшения операций резервного копирования файлов.</li>
</ul>На официальном сайте компании доступна бесплатная пробная версия каждой из этих программ. Во время анализа выяснилось, что официальные установочные файлы содержали вредоносное ПО, исполнявшееся вместе с легитимным установщиком. Файлы не были подписаны и не соответствовали заявленным размерам из-за наличия вредоносного ПО и его зависимостей.
Обнаруженное ПО похищало данные браузеров и криптовалютных кошельков, перехватывало содержимое буфера обмена и регистрировало нажатия клавиш, а также скачивало и выполняло дополнительные файлы. После заражения системы вредоносное ПО сохраняло свое присутствие с помощью запланированного задания, которое запускало основной вредоносный код каждые 3 часа.
По данным VirusTotal, вредоносные копии инсталляторов существовали с начала июня. Однако сам вредоносный код принадлежит семейству вредоносного ПО, распространение которого началось как минимум с января 2024 года. Внутри компании Rapid7 это семейство называют dllFake из-за схемы именования нескольких вредоносных компонентов.
Анализ вредоносного кода показал, что троянские инсталляторы для 32-битной и 64-битной версий Notezilla, Copywhiz и RecentX распространялись с официального сайта conceptworld[.]com. Любой пользователь, который искал это ПО через популярные поисковые системы, с большой вероятностью попадал на официальный сайт и скачивал зараженное ПО.
Инсталлятор NotezillaSetup.exe на момент расследования был упакован с использованием программы Smart Install Maker. Rapid7 удалось распаковать и извлечь большую часть содержимого установочного пакета, включая встроенные файлы и конфигурационную информацию. В результате манипуляций установщика с файлами пользователь видит только окно установки легитимного ПО, не подозревая о происходящей в фоновом режиме вредоносной активности.
https://www.securitylab.ru/upload/me...d6f20ptb4b.png
Свойства NotezillaSetup.exe
Rapid7 рекомендует проверять целостность загружаемых файлов программного обеспечения. Необходимо удостовериться, что хэш-суммы и свойства загруженных файлов совпадают с предоставленными официальным распространителем и/или содержат действительную подпись.
Если за последний месяц на системе был выполнен установщик Notezilla, RecentX или Copywhiz, Rapid7 рекомендует проверить индикаторы компрометации, описанные в блоге компании. Основными индикаторами заражения являются скрытая задача Check dllHourly32 и постоянное выполнение cmd.exe, которая устанавливает исходящие сетевые соединения через curl.exe. В случае обнаружения признаков компрометации, рекомендуется переустановить систему из «чистого» образа для устранения всех изменений, внесенных вредоносным ПО.