Lo que vas a encontrar...
Los investigadores descubrieron un sofisticado ataque a la cadena de suministro contra el proveedor de servicios de chat Comm100 que afectó a muchas empresas. Los atacantes piratearon el cliente de escritorio Comm100 para implementar un instalador que contenía un troyano. Aunque Comm100 ha lanzado una versión limpia, los usuarios deben asegurarse de actualizar sus sistemas a la versión 10.0.9 del instalador fijo para evitar problemas.
Servicio de chat Comm100 Ataque de cadena blanda
Según un informe reciente de CrowdStrike, algunos actores de amenazas chinos piratearon el servicio de chat Comm100 en un ataque a la cadena de suministro.
Comm100 es una plataforma SaaS para el servicio al cliente y la comunicación que facilita muchas empresas. Dadas las funciones de chat cruciales que ofrece Comm100, cualquier amenaza de seguridad cibernética que afecte a esta herramienta puede tener un impacto directo en los clientes corporativos.
Según lo observado por sus equipos de inteligencia, el ataque ocurrió desde el 27 de septiembre de 2022 hasta la mañana del 29 de septiembre de 2022. Y durante este tiempo, el instalador malicioso infectó a muchas empresas de los sectores de la salud, la industria, los seguros, la fabricación, la tecnología y las telecomunicaciones. en Europa y América del Norte.
Los investigadores de CrowdStrike han notado que los actores de amenazas aparentemente han secuestrado un instalador legítimo para el escritorio Comm100 para el cliente de Windows. El instalador infectado se puso a disposición para su descarga desde el sitio web de la empresa. Por lo tanto, intentó evadir la detección, ya que nadie sospecharía del software descargado de sitios web legítimos.
El instalador malicioso tenía una puerta trasera de JavaScript que descargaba y ejecutaba malware de segunda etapa. Como se indica en su publicación,
Este instalador (hash SHA256: ac5c0823d623a7999f0db345611084e0a494770c3d6dd5feeba4199deee82b86) es una aplicación de Electron que contiene una puerta trasera JavaScript (JS) en el archivo main.js del archivo Asar integrado.
La puerta trasera descarga y ejecuta un script de segunda etapa desde la url http[:]//api.amazonawsreplay[.]com/livehelp/collect.
El script de la segunda etapa luego se comunica con el C&C, tiene una puerta trasera que recopila datos del dispositivo y proporciona la funcionalidad de shell remoto a los atacantes.
Una vez establecido, el malware abusa del binario legítimo de Microsoft Metadata Merge Utility (mdmerge.exe) para instalar más archivos maliciosos. Uno de esos archivos, el cargador malicioso MidlrtMd.dll, luego descifra la carga útil, que luego inyecta otra carga útil. Las actividades maliciosas intencionales de los atacantes continúan sin despertar sospechas.
Comm100 lanzó un instalador limpio
CrowdStrike ha confirmado que Comm100 ha lanzado un instalador limpio en su sitio web, la versión 10.0.9. Así que ahora los usuarios tienen que apresurarse para obtener este nuevo instalador y deshacerse de todas las versiones instaladas previamente.
En este momento, no se sabe si el ataque dañó las operaciones de otros clientes corporativos. En cuanto a la identidad de los atacantes, CrowdStrike sospecha que son los mismos que recientemente llevaron a cabo otra campaña maliciosa dirigida a sitios de apuestas en línea.
Háganos saber sus pensamientos en los comentarios.
