Официальный установщик SaaS-приложения Comm100 Live Chat, которое широко используется компаниями для общения с клиентами и посетителями сайтов, оказался заражен трояном. Вредоносная версия приложения распространялась через сайт поставщика как минимум с 26 сентября до 29 сентября 2022 года. В итоге заражены оказались организации из Северной Америки и Европы, работающие в сфере промышленности, здравоохранения, технологий, производства, страхования и телекоммуникаций.
Проблему обнаружили исследователи из компании CrowdStrike. По их данным, троянизированная версия установщика использовала действительную цифровую подпись Comm100 Network Corporation, благодаря чему атаку не обнаружили сразу.
Неизвестные злоумышленники внедрили JavaScript-бэкдор в файл main.js, который присутствует в следующих версиях установщика Comm100 Live Chat:
- 0.72 с хешем SHA256 6f0fae95f5637710d1464b42ba49f9533443181262f78805d3ff13bea3b8fd45;
- 0.8 с хэшем SHA256 ac5c0823d623a7999f0db345611084e0a494770c3d6dd5feeba4199deee82b86.
Исследователи говорят, что бэкдор извлекал обфусцированный JS-скрипт с жестко закодированного URL-адреса «http[:]//api.amazonawsreplay[.]com/livehelp/collect), что в итоге давало злоумышленникам удаленный шелл-доступ к уязвимой машине.
После компрометации эксперты наблюдали развертывание вредоносных загрузчиков (MidlrtMd.dll), которые использовались для загрузки пейлоадов в контексте легитимных процессов Windows, таких как notepad.exe, запускаемых непосредственно из памяти. Загрузчик извлекал окончательную полезную нагрузку (license) с управляющего сервера хакеров и использовал жестко закодированный ключ RC4 для ее расшифровки.
Эксперты Crowdstrike приписывают эту атаку китайским хакерам, в частности, кластеру, который ранее был нацелен на организации, занимающиеся онлайн-гемблингом в странах Восточной и Юго-Восточной Азии.
Исследователи сообщили о проблеме разработчикам Comm100, и те уже выпустил «чистый» установщик версии 10.0.9. Пользователям настоятельно рекомендуется как можно скорее обновить приложение Comm100 Live Chat.
На данный момент представители компании Comm100 не сообщают, каким образом злоумышленникам удалось получить доступ к ее системам и заразить установщик малварью.