O instalador oficial do aplicativo Comm100 Live Chat SaaS, que é amplamente utilizado pelas empresas para se comunicar com clientes e visitantes do site, foi infectado por um Trojan.
A versão maliciosa do aplicativo foi distribuída pelo site do fornecedor pelo menos desde setembro 26 a setembro 29, 2022. Como resultado, organizações da América do Norte e Europa, trabalhando na área da indústria, assistência médica, tecnologia, fabricação, seguros e telecomunicações, foram infectados.
Deixe-me lembrá-lo que também informamos que o FBI alertou sobre um aumento de ataques às cadeias de abastecimento, e também isso Pesquisador comprometido 35 empresas através de um novo ataque de “confusão de dependência”.
O problema foi descoberto por pesquisadores da empresa CrowdStrike. De acordo com eles, a versão trojanizada do instalador usou um válido Corporação de Rede Comm100 assinatura digital, então o ataque não foi detectado imediatamente.
Atacantes não identificados injetaram um backdoor JavaScript no principal.js arquivo, que está presente nas seguintes versões do Bate-papo ao vivo Comm100 instalador:
- 0.72 com hash SHA256 6f0fae95f5637710d1464b42ba49f9533443181262f78805d3ff13bea3b8fd45;
- 0.8 com hash SHA256 ac5c0823d623a7999f0db345611084e0a494770c3d6dd5feeba4199deee82b86.
Os pesquisadores dizem que o backdoor estava extraindo um script JS ofuscado de um URL codificado “http[:]//api.amazonawsreplay[.]com/livehelp/collect”, o que finalmente deu aos invasores acesso remoto ao shell da máquina vulnerável.
Depois do compromisso, especialistas observaram a implantação de carregadores maliciosos (MidlrtMd.dll) que foram usados para carregar cargas no contexto de processos legítimos do Windows, como notepad.exe, executando diretamente da memória. O downloader extraiu a carga final (licença) dos hackers’ servidor de controle e usou uma chave RC4 codificada para descriptografá-lo.
Especialistas em Crowdstrike atribuem este ataque a hackers chineses, em particular, um cluster que anteriormente tinha como alvo organizações de jogos de azar online no Leste e Sudeste Asiático.
Os pesquisadores relataram o problema aos desenvolvedores do Comm100, que já lançaram uma versão limpa do instalador 10.0.9. Os usuários são fortemente aconselhados a atualizar o aplicativo Comm100 Live Chat o mais rápido possível.
No momento, representantes do Comm100 não relatam como os invasores conseguiram obter acesso aos seus sistemas e infectar o instalador com malware.
