O nouă variantă de malware StrongPity

se ascunde în spatele instalării Notepad++

Grupul de hacking cunoscut sub numele de StrongPity răspândește programe de instalare

Notepad++ care infectează computerele cu malware. Acest grup de hacking, cunoscut și sub
denumirea de APT-C-41 și Promethium, a fost văzut anterior distribuind programe de instalare
WinRAR troiene în campanii foarte bine direcționate între 2016 și 2018, așa că această tehnică
nu este nouă.
Această metodă de atac este foarte eficientă, deoarece malware-ul se „ascunde” într-un
instrument legitim care se găsește de obicei în organizații. În consecință, atunci când este
descărcat de la o adresă URL neoficială, instrumentul comun poate fi exploatat.
Descoperirea programului de instalare falsificat provine de la un analist de amenințări
cunoscut sub numele de "blackorbird", în timp ce Minerva Labs raportează despre malware.
Minerva Labs este o companie lider de prevenire, revoluționează industria de securitate a
punctelor terminale prin introducerea unei abordări noi, diferite și mai eficiente pentru a opri
amenințările pe care alte instrumente le scapă, indiferent de timp, dimensiunea echipei, abilitățile
și setul de instrumente.
Programul vizat de acest malware este Notepad++, un editor gratuit de text și cod sursă
foarte popular pentru Windows, utilizat într-o gamă largă de organizații.
La executarea programului de instalare Notepad++, fișierul creează un folder numit
„Windows Data” în directorul C:\ProgramData\Microsoft și adaugă următoarele trei fișiere:
- npp.8.1.7.Installer.x64.exe – fișierul original de instalare Notepad++ în folderul C:\Users\
Username\AppData\Local\Temp\.
- winpickr.exe - un fișier rău intenționat în folderul C:\Windows\System32.
- ntuis32.exe – keylogger rău intenționat în folderul C:\ProgramData\Microsoft\WindowsData
Instalarea editorului de text continuă așa cum era de așteptat, iar victima nu va vedea
nimic ieșit din comun. Pe măsură ce se termină configurarea, este creat un nou serviciu numit
„PickerSrv”, care stabilește persistența malware-ului prin execuția de pornire. Acest serviciu
execută „ntuis32.exe”, care este componenta keylogger a malware-ului. Keylogger-ul
înregistrează toate apăsările de taste ale utilizatorului și le salvează în fișierele de sistem ascunse
în folderul „C:\ProgramData\Microsoft\WindowsData”.
Malware-ul are, de asemenea, capacitatea de a fura fișiere și alte date din sistem. Acest
folder este verificat continuu de fisierul „winpickr.exe”, iar când este detectat un nou fișier
jurnal, componenta stabilește o conexiune C2 pentru a încărca datele furate către atacatori. Odată
ce transferul a fost finalizat, jurnalul original este șters pentru a șterge urmele activității rău
intenționate.

Stai in siguranta
Dacă trebuie să utilizați Notepad++, asigurați-vă că obțineți programul de instalare de pe
site-ul web al producatorului și urmați aceleași măsuri de precauție cu toate instrumentele
software pe care le utilizați. Software-ul este disponibil pe numeroase alte site-uri web, dintre
care unele pretind a fi portalurile oficiale Notepad++, dar pot include adware sau alte programe
malițioase.
Folosirea programelor de securitate actualizate este de asemenea esențială. Asigurați-vă
că antivirusul dvs. poate accesa date în timp real și poate detecta cele mai noi amenințări.