Julien
Le groupe de piratage sophistiqué connu sous le nom de StrongPity fait circuler des installateurs Notepad ++ lacés qui infectent les cibles avec des logiciels malveillants.
Ce groupe de piratage, également connu sous le nom d’APT-C-41 et de Promethium, a déjà été vu en train de distribuer des programmes d’installation WinRAR avec un cheval de Troie dans des campagnes très ciblées entre 2016 et 2018, donc cette technique n’est pas nouvelle.
L’attrait récent implique Notepad ++, un éditeur de texte libre et de code source très populaire pour Windows utilisé dans un large éventail d’organisations.
La découverte du programme d’installation falsifié provient d’un analyste des menaces connu sous le nom d’analystes « blackorbird », tandis que Laboratoires Minerva rapports sur le malware.
#APTE #StrongPity Programme d’installation de NotePad++ (npp.8.1.7.Installer.x64.exe)
78556a2fc01c40f64f11c76ef26ec3ff
http[:]//advancedtoenableplatform.com pic.twitter.com/eEXZWIObnH– blackorbird (@blackorbird) 30 novembre 2021
Lors de l’exécution du programme d’installation de Notepad++, le fichier crée un dossier nommé « Windows Data » sous C:ProgramDataMicrosoft et supprime les trois fichiers suivants :
- npp.8.1.7.Installer.x64.exe – le fichier d’installation d’origine Notepad++ dans le dossier C:UsersUsernameAppDataLocalTemp.
- winpickr.exe – un fichier malveillant dans le dossier C:WindowsSystem32.
- ntuis32.exe – enregistreur de frappe malveillant dans le dossier C:ProgramDataMicrosoftWindowsData
L’installation de l’éditeur de code se poursuit comme prévu, et la victime ne verra rien d’anormal pouvant éveiller des soupçons.
À la fin de l’installation, un nouveau service nommé « PickerSrv » est créé, établissant la persistance du malware via l’exécution du démarrage.
Source : Minerve
Ce service exécute ‘ntuis32.exe’, qui est le composant keylogger du malware, et l’exécute dans une fenêtre réduite.
Le keylogger enregistre toutes les frappes de l’utilisateur et les enregistre dans des fichiers système cachés créés dans le dossier « C:ProgramDataMicrosoftWindowsData ». Le malware a également la capacité de voler des fichiers et d’autres données du système.
Ce dossier est vérifié en permanence par « winpickr.exe », et lorsqu’un nouveau fichier journal est détecté, le composant établit une connexion C2 pour télécharger les données volées vers les attaquants.
Une fois le transfert terminé, le journal d’origine est supprimé pour effacer les traces d’activité malveillante.
Être prudent
Si vous devez utiliser Notepad ++, assurez-vous de vous procurer un programme d’installation à partir de le site du projet.
Le logiciel est disponible sur de nombreux autres sites Web, dont certains prétendent être les portails officiels Notepad ++ mais peuvent inclure des logiciels publicitaires ou d’autres logiciels indésirables.
L’URL qui distribuait l’installateur lacé a été retirée suite à son identification par les analystes, mais les acteurs pourraient rapidement en enregistrer une nouvelle.
Suivez les mêmes précautions avec tous les outils logiciels que vous utilisez, quelle que soit leur niche, car les acteurs sophistiqués sont particulièrement intéressés par les cas logiciels spécialisés qui sont idéaux pour les attaques de points d’eau.
Dans ce cas, les chances de détection d’un outil AV sur le système seraient d’environ 50 %, l’utilisation d’outils de sécurité à jour est donc également essentielle.