Компания Rapid7 начала расследование активности, которая происходила у их клиента, и выяснили, что она связана с установкой программы Notezilla, которая позволяет создавать заметки на рабочем столе Windows. Установочные пакеты программ Notezilla, RecentX и Copywhiz, которые распространяет индийская компания Conceptworld на своем официальном сайте, оказались зараженными вредоносным ПО.
Rapid7 сообщила Conceptworld о проблеме и они оперативно устранили ее, заменив вредоносные программы на легитимные.
Conceptworld предлагает три различных программных продукта: Notezilla, RecentX и Copywhiz на своем сайте conceptworld.com. Установочные пакеты, доступные для загрузки на сайте, оказались контаминированными вредоносным ПО, дополнительно к легитимным установщикам. Вредоносные пакеты не были подписаны и имели другой размер, чем указан на странице загрузки.
Найденное вредоносное ПО, обнаруженное Rapid7, содержит функционал для кражи данных браузера и информации о криптовалютных кошельках, а также для записи содержимого буфера обмена и нажатия клавиш на клавиатуре. Оно также способно загружать и выполнять дополнительные вредоносные нагрузки через запланированную задачу, которая выполняется каждые три часа.
Исследование компанией Rapid7 показало, что вредоносные копии инсталляторов существуют с начала июня 2024 года. Однако полезная нагрузка этого вредоносного ПО, передаваемого через троянские установщики, была обнаружена с января 2024 года. Rapid7 назвала это семейство вредоносных программ dllFake.
Rapid7 выяснила, что инсталляторы для программ Notezilla, Copywhiz и RecentX загружались с официального сайта conceptworld.com. Пользователи, ищущие эти программы через популярную поисковую систему, были направлены на загрузку вредоносных пакетов с этого сайта.
Установщик Notezilla, загруженный с conceptworld.com, был упакован с использованием программы Smart Install Maker(5.04). Он содержал ссылки на легитимный установщик, который перед выполнением сохранялся во временной папке %TEMP% и несколько файлов, которые копировались в папку установки.
Indicators of Compromise
IPv4
- 104.140.17.242
- 104.206.2.18
- 104.206.220.113
- 104.206.57.117
- 104.206.95.146
- 170.130.34.114
- 185.137.137.74
- 212.70.149.210
- 5.180.185.42
- 50.2.108.102
- 50.2.191.154
Domains
- conceptworld.com
SHA256
- 03761d9fd24a2530b386c07bf886350ae497e693440a9319903072b93a30c82d
- 048cae10558cddfb2cf0ade25f1101909bba58d0a448e0d78590cc5e64e95127
- 1fa84b696b055f614ccd4640b724d90ccad4afc035358822224a02a9e2c12846
- 2eae4f06f2c376c6206c632ac93f4e8c4b3e0e63eca3118e883f8ac479b2f852
- 33e4d5eed3527c269467eec2ac57ae94ae34fd1d0a145505a29c51cf8e83f1b9
- 4df9b7da9590990230ed2ab9b4c3d399cf770ed7f6c36a8a10285375fd5a292f
- 6487a0dc9dfbbaa6557af096178a1361e49762a41500aa03f17df5d3b159bf4e
- 6f49756749d175058f15d5f3c80c8a7d46e80ec3e5eb9fb31f4346abdb72a0e7
- 70bce9c228aacbdadaaf18596c0eb308c102382d04632b01b826e9db96210093
- a89953915eabe5c4897e414e73f28c300472298a6a8c055fcc956c61c875fd96
- bfa99c41aecc814de5b9eb8397a27e516c8b0a4e31edd9ed1304da6c996b4aaa
- ca6ff18ee006e7ab3cb42fc541b08ce4231dadfab0cce57b1c126db3df9f1297
- cdc1f2430681e9278b3f738ed74954c4366b8eff52c937f185d760c1bbba2f1d
- de4e03288071cdebe5c26913888b135fb2424132856cc892baea9792d6c66249
- ebf2b84ed64629242f8d0abfca73344736205249539474e8f57d1d3dbe8ccc41
- fdc84cb0845f87a39b29027d6433f4a1bbd8c5b808280235cf867a6b0b7a91eb
