В сообщение в блогеRapid7 заявил, что приложение доступно для всех основных платформ, добавив, что вредоносная активность наблюдалась как в среде Windows, так и в среде Mac.
Исследователи компании заявили, что анализ двоичного файла показал, что среди файлов, удаленных во время установки, была версия ffmpeg.dll с бэкдором.
Это позволило прочитать большой двоичный объект, зашифрованный RC4, в d3dcompiler.dll, который представлял собой исполняемый код, загруженный рефлексивно. Он получил файлы .ico с добавленными строками в кодировке Base64 из GitHub.
|
|
Закодированные строки оказались командно-контрольными сообщениями.
Rapid7 заявила, что связалась с GitHub по поводу использования репозитория GitHub в качестве враждебной инфраструктуры. По состоянию на 21:40 по восточному времени 29 марта (6:40 утра по восточному времени 30 марта по восточноевропейскому времени) действие злоумышленника было заблокировано, а репозиторий больше не был доступен.
Несмотря на то, что вредоносная активность не была подтверждена во всех средах, исследователи Rapid7 заявили, что было бы разумно удалить приложение на всех платформах.
«Из соображений предосторожности консервативной стратегией смягчения последствий будет удаление 3CXDesktopApp на всех платформах и удаление всех оставшихся артефактов», — сказали они.
«Пользователи должны задним числом искать индикаторы компрометации и блокировать заведомо плохие домены».
Команда предоставила список индикаторов компрометации как часть своего поста. В публикации приняли участие исследователи Эрик Галинкин, Тед Сэмюэлс, Зак Дейтон, Эоин Миллер, Кейтлин Кондон, Стивен Фьюэр, Спенсер Макинтайр и Кристиан Бик.
Читать полную новость на сайте
