Aanvallers verspreiden malware via installatiebestand Com100

CrowdStrike waarschuwt voor een nieuwe supply chain-aanval waarbij een malafide installatiebestand voor een chat-gebaseerd klantenplatform wordt ingezet. Het gaat daarbij specifiek om de applicatie Com100 Live Chat. Het malafide installatiebestand is via de website van de maker verspreid.

In een blogpost deelt CrowdStrike details over de aanval, waarvan diverse bedrijven in uiteenlopende sectoren doelwit zijn geworden. De aanvallen vonden in de periode 27 september tot en met 29 september plaats. Organisaties uit de industriële sector, zorg, techsector, maakindustrie, verzekeringssector en telecomindustrie uit zowel Europa als Noord-Amerika waren doelwit.

Verspreid via website van Com100

De aanvallers verspreidde het malafide installatiebestand via de website van Com100. Hierbij is gebruik gemaakt van een geldig Comm100 Network Corporation-certificaat, meldt CrowdStrike. Het installatiebestand omvatte een JavaScript-backdoor, waarmee de aanvallers additionele malware probeerde te installeren.Het ging hierbij eveneens om een JavaScript-backdoor, die in dit geval werd gebruikt voor het verzamelen van informatie over de host. Ook bevatte deze malware een remote shell-functionaliteit. De aanvallers installeerden vervolgens additionele malware voor het verder aanvallen van slachtoffers.

CrowdStrike detecteerde de aanval met behulp van zijn Falcon-platform, dat machine learning, kunstmatige intelligentie en analytics inzet voor het analyseren van security events die zijn vastgelegd in de CrowdStrike Security Cloud. Het bedrijf informeerde Com100, die een patch heeft uitgebracht.

Meer informatie is hier beschikbaar.