StrongPity: nuova variante nascosta in Notepad++

StrongPity: nuova variante nascosta in Notepad++

Una nuova variante del malware StrongPity è stata scoperta nell'installer di Notepad++ 8.1.7 distribuito tramite siti non ufficiali.
Una nuova variante del malware StrongPity è stata scoperta nell'installer di Notepad++ 8.1.7 distribuito tramite siti non ufficiali.

Scaricare sempre i software dai siti ufficiali. Questo ovvio suggerimento non viene recepito da tutti, come dimostra la diffusione del malware StrongPity. Gli esperti di Minerva Labs hanno scoperto che una nuova variante è stata nascosta nell'installer della popolare applicazione Notepad++ distribuita tramite siti di terze parti.

StrongPity colpisce ancora

StrongPity (noto anche come APT-C-41 e PROMETHIUM) è un gruppo di cybercriminali attivo dal 2012 che aggiunge backdoor a software legittimi utilizzati da specifici utenti, una tecnica nota come watering hole. Kaspersky ha scoperto nel 2016 che il malware è stato nascosto negli installer di WinRAR e TrueCrypt scaricati principalmente in Italia e Belgio. Ora i cybercriminali hanno sfruttato la popolarità di Notepad++.

L'attacco avviene in tre fasi. L'ignara vittima scarica e installa il software fasullo (ma l'icona è quella originale). Viene quindi creata la directory WindowsData in C:\ProgramData\Microsoft. Successivamente vengono copiati tre file:

  • npp.8.1.7.Installer.x64.exe (il file di installazione originale) in C:\Users\Username\AppData\Local\Temp\
  • winpickr.exe (un file infetto) in C:\Windows\System32
  • ntuis32.exe (un keylogger) in C:\ProgramData\Microsoft\WindowsData

Durante la procedura di installazione vengono eseguiti in background anche gli ultimi due file. Il file winpickr.exe crea il nuovo servizio PickerSrv (eseguito all'avvio del sistema operativo) che a sua volta esegue il file ntuis32.exe. Il keylogger inizia quindi a salvare i tasti premuti in vari file nascosti con estensione .tbl. Questi ultimi vengono copiati nella directory C:\ProgramData\Microsoft\WindowsData e successivamente inviati ad un server remoto.

Fortunatamente StrongPity viene rilevato da quasi tutti gli antivirus. Per evitare problemi è fortemente sconsigliato il download di software da siti non ufficiali. La versione più recente (8.1.9.3) di Notepad++ può essere scaricata dal sito dello sviluppatore.

Fonte: Minerva
Link copiato negli appunti

Ti potrebbe interessare

09 12 2021
Link copiato negli appunti