El instalador oficial de la aplicación SaaS Comm100 Live Chat, que es ampliamente utilizado por las empresas para comunicarse con los clientes y visitantes del sitio web, ha sido infectado con un troyano.
La versión maliciosa de la aplicación se distribuyó a través del sitio web del proveedor al menos desde septiembre. 26 a septiembre 29, 2022. Como resultado, organizaciones de América del Norte y Europa, trabajando en el campo de la industria, cuidado de la salud, tecnología, fabricación, seguros y telecomunicaciones, estaban infectados.
Permítanme recordarles que también informamos que el FBI advirtió sobre un aumento de ataques a las cadenas de suministro, y también eso Investigador comprometido 35 empresas a través de un nuevo ataque de “confusión de dependencia”.
El problema fue descubierto por investigadores de la empresa Multitud de huelga. segun ellos, la versión troyanizada del instalador utilizó un código válido Corporación de red Comm100 firma digital, por lo que el ataque no fue detectado de inmediato.
Atacantes no identificados inyectaron una puerta trasera de JavaScript en el principal.js archivo, que está presente en las siguientes versiones del Chat en vivo de Comm100 instalador:
- 0.72 con hash SHA256 6f0fae95f5637710d1464b42ba49f9533443181262f78805d3ff13bea3b8fd45;
- 0.8 con hash SHA256 ac5c0823d623a7999f0db345611084e0a494770c3d6dd5feeba4199deee82b86.
Los investigadores dicen que la puerta trasera extraía un script JS ofuscado de una URL codificada «http[:]//api.amazonawsreplay[.]es/livehelp/colectar», lo que finalmente dio a los atacantes acceso remoto al shell de la máquina vulnerable.
Después del compromiso, Los expertos observaron el despliegue de cargadores maliciosos. (MidlrtMd.dll) que se utilizaron para cargar cargas útiles en el contexto de procesos legítimos de Windows, como por ejemplo notepad.exe, ejecutando directamente desde la memoria. El descargador extrajo la carga útil final. (licencia) de los piratas informáticos’ servidor de control y utilizó una clave RC4 codificada para descifrarlo.
Los expertos de Crowdstrike atribuyen este ataque a piratas informáticos chinos, En particular, un grupo que anteriormente apuntaba a organizaciones de juegos de azar en línea en el este y sudeste de Asia.
Los investigadores informaron del problema a los desarrolladores de Comm100., que ya han lanzado una versión limpia del instalador 10.0.9. Se recomienda encarecidamente a los usuarios que actualicen la aplicación Comm100 Live Chat lo antes posible..
En este momento, Los representantes de Comm100 no informan cómo los atacantes lograron acceder a sus sistemas e infectar el instalador con malware..