{"id":6911,"date":"2024-07-13T16:29:28","date_gmt":"2024-07-13T14:29:28","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6911"},"modified":"2024-07-13T16:29:28","modified_gmt":"2024-07-13T14:29:28","slug":"notezilla-recentx-i-copywhiz-zloupotreba","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/07\/13\/notezilla-recentx-i-copywhiz-zloupotreba\/","title":{"rendered":"Notezilla, RecentX i Copywhiz zloupotreba"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Jedna od vode\u0107ih kompanija za sajber bezbjednost, <a href=\"https:\/\/www.rapid7.com\/blog\/post\/2024\/06\/27\/supply-chain-compromise-leads-to-trojanized-installers-for-notezilla-recentx-copywhiz\/\" target=\"_blank\" rel=\"noopener\"><em>Rapid7<\/em> je otkrila zloupotrebu<\/a> <em>Notezilla<\/em>, <em>RecentX<\/em> i <em>Copywhiz<\/em> instalacionih paketa indijske kompanije <em>Conceptworld<\/em>. Radi se o aplikacijama koje su stekle \u0161iroku popularnost zbog pobolj\u0161anja produktivnosti za korisnike <em>Microsoft<\/em> operativnog sistema, a koje su kompromitovane <a href=\"https:\/\/sajberinfo.com\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernim softverom<\/a>.<\/span><\/p>\n<div id=\"attachment_6912\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6912\" class=\"size-full wp-image-6912\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/07\/Notezilla-RecentX-and-Copywhiz.jpg\" alt=\"Notezilla, RecentX &amp; Copywhiz\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/07\/Notezilla-RecentX-and-Copywhiz.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/07\/Notezilla-RecentX-and-Copywhiz-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/07\/Notezilla-RecentX-and-Copywhiz-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/07\/Notezilla-RecentX-and-Copywhiz-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/07\/Notezilla-RecentX-and-Copywhiz-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/07\/Notezilla-RecentX-and-Copywhiz-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/07\/Notezilla-RecentX-and-Copywhiz-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6912\" class=\"wp-caption-text\"><em>Notezilla, RecentX i Copywhiz zloupotreba; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/07\/13\/notezilla-recentx-i-copywhiz-zloupotreba\/#NOTEZILLA_RECENTX_I_COPYWHIZ_ZLOUPOTREBA\">NOTEZILLA, RECENTX I COPYWHIZ ZLOUPOTREBA<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/07\/13\/notezilla-recentx-i-copywhiz-zloupotreba\/#Mogucnosti\">Mogu\u0107nosti<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/07\/13\/notezilla-recentx-i-copywhiz-zloupotreba\/#CONCEPTWORLD_OPORAVAK\">CONCEPTWORLD OPORAVAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/07\/13\/notezilla-recentx-i-copywhiz-zloupotreba\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/07\/13\/notezilla-recentx-i-copywhiz-zloupotreba\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"NOTEZILLA_RECENTX_I_COPYWHIZ_ZLOUPOTREBA\"><\/span><strong><span style=\"font-size: 14pt;\"><em>NOTEZILLA<\/em>, <em>RECENTX<\/em> I <em>COPYWHIZ<\/em> ZLOUPOTREBA<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di kompanije <em>Rapid7<\/em> su otkrili da instalacijski paketi nisu potpisani kako se o\u010dekivalo i da su imali ve\u0107e veli\u010dine datoteka od onih navedenih na zvani\u010dnoj stranici za preuzimanje. Ovo neslaganje je natjeralo <a href=\"https:\/\/sajberinfo.com\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosne istra\u017eiva\u010de<\/a> da obrate pa\u017enju i da dalje analiziraju ove datoteke.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Nakon detaljnijeg pregleda, otkrili su da instalacijski programi sadr\u017ee zlonamjerne komponente dizajnirane da ukradu akreditive internet pregleda\u010da i informacije o nov\u010daniku kriptovaluta, evidentiraju sadr\u017eaj me\u0111umemorije i <a href=\"https:\/\/sajberinfo.com\/2021\/10\/01\/keyloggers\/\" target=\"_blank\" rel=\"nofollow noopener\">pritiska na tastere<\/a>, uspostave postojanost na zara\u017eenim <em>Windows<\/em> ure\u0111ajima postavljanjem zakazanog zadatka i preuzimaju dodatne <a href=\"https:\/\/sajberinfo.com\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisne tovare<\/a> koji se dalje izvr\u0161avaju skripte i povezuju sa serverom za komandu i kontrolu (<em>C2<\/em>) za dalja uputstva.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Mogucnosti\"><\/span><strong><span style=\"font-size: 14pt;\">Mogu\u0107nosti<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Zlonamjerne instalacije su dizajnirane kao vi\u0161estepene prijetnje, koriste\u0107i razli\u010dite tehnike kako bi izbjegli otkrivanje i maksimizirali svoj uticaj na zara\u017eene sisteme. Krenimo redom:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Faza 1 \u2013 Inicijalna infekcija: Trojanizovana instalacija bi izvr\u0161ila <em>PowerShell<\/em> skriptu koja je preuzela dodatne komponente sa udaljenih servera koriste\u0107i <em>Base64<\/em> k\u00f4diranje za prikrivanje. Ova tehnika je ote\u017eava otkrivanje zlonamjernog saobra\u0107aja i obezbje\u0111uje uspje\u0161nu isporuku korisnih podataka,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Faza 2 \u2013 Prikupljanje podataka: Jednom instalirana, zlonamjerna datoteka bi pokrenula grupnu skriptu koja se povezala sa svojim <em>C2<\/em> serverom koriste\u0107i protokol bezbjednog prenosa datoteka (eng. <em>Secure File Transfer Protocol &#8211; SFTP<\/em>). Zatim dolazi do preuzimanja dodatnih komponenti i njihovog izvr\u0161avanja na osnovu konfiguracije sistema,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Faza 3 \u2013 Eksfiltracija podataka: Zlonamjerni softver je dizajniran da ukrade osjetljive podatke, uklju\u010duju\u0107i akreditive internet pregleda\u010da, informacije o nov\u010daniku za kriptovalute evidentiraju sadr\u017eaj me\u0111umemorije i pritiske na tastere,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Faza 4 \u2013 Postojanost: Zlonamjerni softver je obezbijedio svoju postojanost postavljanjem zakazanog zadatka pomo\u0107u zlonamjerne izvr\u0161ne datoteke i\u00a0 i <em>Windows<\/em> Planera zadataka (eng. <em>Task Scheduler<\/em>). Ovo mu je omogu\u0107ilo da se automatski pokre\u0107e svaki put kada se sistem pokrene, obezbe\u0111uju\u0107i kontinuirano prikupljanje i eksfiltraciju podataka.<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"CONCEPTWORLD_OPORAVAK\"><\/span><strong><span style=\"font-size: 14pt;\"><em>CONCEPTWORLD <\/em>OPORAVAK<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di su obavijestili <em>Conceptworld<\/em> o problemu u roku od nekoliko sati od njihovog otkri\u0107a. Oni su brzo reagovali, priznaju\u0107i problem i preduzimaju\u0107i hitne mjere da ga obuzdaju. U roku od 12 \u010dasova od obavje\u0161tenja kompanija <em>Conceptworld<\/em> uklonila zlonamjerne instalacije sa <em>conceptworld[. ]com<\/em> domena i zamijenila ih odgovaraju\u0107im kopijama. Ovaj korak je sprije\u010dio dalje infekcije i omogu\u0107io korisnicima da bezbjedno preuzmu svoje preferirane softverske pakete.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Nakon toga kompanija je dala izjavu za javnost u kojoj priznaje naru\u0161avanje bezbjednosti i izra\u017eava zahvalnost kompaniji <em>Rapid7<\/em> \u0161to im je na to skrenula pa\u017enju. Tako\u0111e su savjetovali sve pogo\u0111ene korisnike da skeniranju svoje sisteme koriste\u0107i renomirana antivirusna rje\u0161enja i promjene sve ugro\u017eene <a href=\"https:\/\/sajberinfo.com\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinke<\/a>. Nakon toga, kompanija <em>Conceptworld<\/em> je sprovela internu istragu, otkrivaju\u0107i da je bila na meti sofisticiranog napada\u010da koji je dobio neovla\u0161teni pristup njihovom razvojnom okru\u017eenju. Kompanija je oja\u010dala svoje bezbjednosne mjere kao odgovor, uklju\u010duju\u0107i primjenu autentifikacije u vi\u0161e koraka za sve naloge programera i pobolj\u0161anje segmentacije mre\u017ee.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong><span style=\"font-size: 14pt;\">ZAKLJU\u010cAK<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Incident koji uklju\u010duje <em>Notezilla<\/em>, <em>RecentX<\/em> i <em>Copywhiz<\/em> aplikacije kompanije <em>Conceptworld<\/em> slu\u017ei kao o\u0161tar podsjetnik na va\u017enost bezbjednosti softvera u dana\u0161njem digitalnom pejza\u017eu. Kompanije kao \u0161to je <em>Conceptworld<\/em> moraju odr\u017eavati robusne bezbjednosne mjere i redovno skenirati svoje sisteme u potrazi za potencijalnim prijetnjama. Tako\u0111e bi trebalo da implementiraju jake kontrole pristupa kako bi sprije\u010dile neovla\u0161tene modifikacije svoje baze k\u00f4da i kanala distribucije. Na taj na\u010din mogu za\u0161tititi i svoju reputaciju i povjerenje svojih cijenjenih kupaca.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Upotreba zlonamjernog softvera u ovom napadu nije izolovan incident, to je dio \u0161ireg trenda gdje zlonamjerni akteri eksploati\u0161u pouzdani softver u zlonamjerne svrhe. Posljednjih godina primije\u0107eni su brojni primjeri popularnih alata kao \u0161to su <em>CCleaner<\/em>, <a href=\"https:\/\/sajberinfo.com\/2023\/07\/17\/trojanizovani-teamviewer-vreba-korisnike\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>TeamViewer<\/em><\/a> i <em>Orbit<\/em> <em>Downloader<\/em> koji su kompromitovani da bi isporu\u010dili zlonamjerni softver. Ovi napadi \u010desto ostaju neotkriveni sve dok ih bezbjednosne firme ne prijave ili korisnici ne primijete neobi\u010dno pona\u0161anje na svojim sistemima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zbog toga je potrebno biti informisan o potencijalnim prijetnjama i preduzimati odgovaraju\u0107e radnje kako bi se zajedni\u010dki radilo na stvaranju bezbjednijeg digitalnog okru\u017eenja za sve.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong><span style=\"font-size: 14pt;\">ZA\u0160TITA<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Da bi se korisnici za\u0161titili od ovakve vrste napada, mogu preduzeti sljede\u0107e mjere:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Korisnici trebaju provjeriti integritet preuzete datoteke, tako \u0161to \u0107e se uvjeriti da softver preuzet od zvani\u010dnih distributera ima odgovarajuc\u0301e he\u0161ove datoteka i svojstva pre instalacije. Potrebno je biti oprezan sa nepotpisanim instalacionim datotekama ili onima sa nedosljednim veli\u010dinama datoteka,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Provjeriti da li postoje znakovi kompromisa pregledom sistema nakon nedavnih instalacija <em>Notezilla<\/em>, <em>RecentX<\/em> i <em>Copywhiz <\/em>aplikacija. Potra\u017eiti skrivene zakazane zadatke pod nazivom \u201c<em>Check dllHourly32<\/em>\u201d i stalne <em>cmd.exe<\/em> instance koji uspostavljaju odlazne veze preko <em>curl.exe<\/em>.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Potrebno je koristiti jake lozinke i omogu\u0107iti autentifikaciju u dva koraka tamo gdje je mogu\u0107e, ako i a\u017eurirati sav softver na najnovije verzije,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Potrebno je konfigurisati za\u0161titne zidove ili <a href=\"https:\/\/sajberinfo.com\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusna rje\u0161enja<\/a> za blokiranje odlaznog saobra\u0107aja iz datoteka sa odre\u0111enim ekstenzijama koje su ciljane od strane zlonamjernog softvera za eksfiltraciju,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Uvjeriti se da se redovno prave <a href=\"https:\/\/sajberinfo.com\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">rezervne kopije<\/a> i bezbjedno \u010duvaju, kako lokalno tako i u oblaku. U slu\u010daju kompromisa, ovo \u0107e pomo\u0107i da se smanji potencijalna \u0161teta i olak\u0161a brz proces oporavka.<\/span><\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"<p>Jedna od vode\u0107ih kompanija za sajber bezbjednost, Rapid7 je otkrila zloupotrebu Notezilla, RecentX i Copywhiz instalacionih paketa indijske kompanije Conceptworld. Radi se o aplikacijama koje su stekle \u0161iroku popularnost zbog pobolj\u0161anja produktivnosti za korisnike&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6912,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1732,1733,1133,1736,146,1103,93,1331,1734,1735,1737],"class_list":["post-6911","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-batch-script","tag-clipboard-stealer","tag-data-theft","tag-inconsistent-file-size","tag-keylogger","tag-malicious-payloads","tag-malware","tag-persistence","tag-software-installers","tag-unsigned-installer","tag-windows-apps"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6911","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6911"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6911\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6912"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6911"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6911"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6911"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}