Η hacking ομάδα StrongPity βρίσκεται πίσω από μια πρόσφατη εκστρατεία που εκμεταλλεύεται το Notepad++. Η ομάδα υπάρχει από το 2012 και χρησιμοποιεί σχεδόν τις ίδιες τακτικές, δηλαδή προσθέτει backdoors σε νόμιμο λογισμικό που χρησιμοποιείται από συγκεκριμένους χρήστες, μια τεχνική γνωστή ως water holing. Η ομάδα είναι, επίσης, γνωστή ως APT-C-41 και PROMETHIUM. Το 2016, η Kaspersky εντόπισε μια εκστρατεία της StrongPity που στόχευε συγκεκριμένους χρήστες στο Βέλγιο και την Ιταλία, οι οποίοι ενδιαφέρονταν για τα Truecrypt και Winrar software. Οι πιο πρόσφατες malware επιθέσεις εκμεταλλεύονται το Notepad++, ένα πολύ δημοφιλές, δωρεάν πρόγραμμα επεξεργασίας κειμένου και source code για Windows, που χρησιμοποιείται από πολλούς οργανισμούς.
Δείτε επίσης: Το Emotet εγκαθιστά το Cobalt Strike σε συσκευές επιτρέποντας πιο γρήγορη μόλυνση με ransomware
To τροποποιημένο Notepad++ installer ανακάλυψε ένας αναλυτής απειλών, γνωστός ως «blackorbird». Η Minerva Labs αναφέρει, επίσης, το κακόβουλο λογισμικό.
Κατά την εκτέλεση του κακόβουλου Notepad++ installer, το αρχείο δημιουργεί έναν φάκελο με το όνομα “Windows Data” στο C:\ProgramData\Microsoft και εγκαθιστά τα ακόλουθα τρία αρχεία:
- npp.8.1.7.Installer.x64.exe – the original Notepad++ installation file στο C:\Users\Username\AppData\Local\Temp\ folder.
- winpickr.exe – ένα κακόβουλο αρχείο στο C:\Windows\System32 folder.
- ntuis32.exe –keylogger στο C:\ProgramData\Microsoft\WindowsData folder
Η εγκατάσταση του Notepad++ συνεχίζεται κανονικά και το θύμα δεν αντιλαμβάνεται τα άλλα δύο κακόβουλα αρχεία που εγκαθίστανται κρυφά στο background.
Καθώς η εγκατάσταση ολοκληρώνεται, δημιουργείται μια νέα υπηρεσία με το όνομα “PickerSrv“, η οποία καθιερώνει το persistence του κακόβουλου λογισμικού.
Αυτή η υπηρεσία εκτελεί το ‘ntuis32.exe‘, που είναι το keylogger component του κακόβουλου λογισμικού.
Δείτε επίσης: Mac: Είναι ευάλωτα σε ιούς/malware; Χρειάζονται antivirus;
Το keylogger καταγράφει όλες τις πληκτρολογήσεις του θύματος και τις αποθηκεύει σε κρυφά system files που έχουν δημιουργηθεί στο φάκελο ‘C:\ProgramData\Microsoft\WindowsData’. Το κακόβουλο λογισμικό έχει επίσης τη δυνατότητα να κλέβει αρχεία και άλλα δεδομένα από το σύστημα.
Αυτός ο φάκελος ελέγχεται συνεχώς από το ‘winpickr.exe’ και όταν εντοπίζεται ένα log file, το component δημιουργεί μια σύνδεση C2 για να στείλει τα κλεμμένα δεδομένα στους επιτιθέμενους.
Μόλις ολοκληρωθεί η μεταφορά των δεδομένων, το αρχικό log διαγράφεται για να εξαφανιστούν τα ίχνη της κακόβουλης δραστηριότητας.
Εμπιστευτείτε μόνο τις νόμιμες πηγές
Εάν πρέπει να χρησιμοποιήσετε το Notepad++, φροντίστε να προμηθευτείτε ένα installer από το επίσημο website.
Το λογισμικό είναι διαθέσιμο σε πολλούς άλλους ιστότοπους και πολλοί από αυτούς ισχυρίζονται ότι είναι τα επίσημα Notepad++ portals, αλλά μπορεί να περιλαμβάνουν adware ή άλλο ανεπιθύμητο λογισμικό.
Η διεύθυνση URL που διένειμε το κακόβουλο Notepad++ installer έχει αφαιρεθεί μετά την ανακάλυψή του από τους αναλυτές, αλλά οι επιτιθέμενοι μπορεί να βρουν άλλο τρόπο για να εξαπλώσουν το malware.
Δείτε επίσης: QNAP: Συσκευές NAS στοχεύονται με cryptomining malware
Ακολουθήστε τα μέτρα ασφαλείας που ισχύουν για όλα τα software tools που χρησιμοποιείτε, ανεξάρτητα από το πόσο εξειδικευμένα είναι. Οι εγκληματίες του κυβερνοχώρου ενδιαφέρονται ιδιαίτερα για εξειδικευμένα software που χρησιμοποιούνται από συγκεκριμένους χρήστες και οργανισμούς.
Σε αυτήν την περίπτωση, οι πιθανότητες ανίχνευσης από ένα εργαλείο AV θα ήταν περίπου 50%, επομένως είναι πολύ σημαντικό να χρησιμοποιείτε και ενημερωμένα εργαλεία ασφαλείας.
Πηγή: Bleeping Computer