Memanfaatkan wawasan dari platform Falcon, tim CrowdStrike Falcon OverWatch™, CrowdStrike Falcon Complete™, dan CrowdStrike Intelligence mengonfirmasi bahwa serangan rantai pasokan melibatkan penginstal trojan untuk aplikasi Comm100 Live Chat.
Serangan ini terjadi setidaknya dari 27 September 2022 hingga 29 September 2022 pagi. File trojan diidentifikasi di organisasi di sektor industri, perawatan kesehatan, teknologi, manufaktur, asuransi, dan telekomunikasi di Amerika Utara dan Eropa.
Malware dikirimkan melalui penginstal Comm100 yang ditandatangani yang dapat diunduh dari situs web perusahaan baru-baru ini pada pagi hari tanggal 29 September 2022. CrowdStrike Intelligence menilai dengan keyakinan moderat bahwa aktor yang bertanggung jawab atas aktivitas ini kemungkinan memiliki hubungan dengan Nexus dari China.
Malware dikirimkan melalui penginstal Comm100 yang ditandatangani yang dapat diunduh dari situs web perusahaan. Pemasang ditandatangani pada 26 September 2022 pukul 14:54:00 UTC menggunakan sertifikat Comm100 Network Corporation yang valid.
CrowdStrike Intelligence dapat mengonfirmasi bahwa agen desktop Microsoft Windows 7+ dihosting di https[:]//dash11.comm100[.]io/livechat/electron/10000/Comm100LiveChat-Setup-win.exe yang tersedia hingga 29 September pagi adalah penginstal trojan. Comm100 telah merilis penginstal yang diperbarui (10.0.9).
Installer ini (SHA256 hash: ac5c0823d623a7999f0db345611084e0a494770c3d6dd5feeba4199deee82b86) adalah aplikasi Electron yang berisi backdoor JavaScript (JS) di dalam file main.js dari arsip Asar yang disematkan.
Backdoor mengunduh dan menjalankan skrip tahap kedua dari URL http[:]//api.amazonawsreplay[.]com/livehelp/collect.
Selengkapnya: CrowdStrike
