被称为 StrongPity 的复杂黑客组织正在传播带恶意软件的 Notepad++ 安装程序,这些安装程序会感染目标。
这个黑客组织,也称为 APT-C-41 和 Promethium,之前曾 在 2016 年至 2018 年间在针对性很强的活动中分发 木马化的 WinRAR 安装程序,因此这种技术并不新鲜。
最近的诱惑涉及 Notepad++,这是一种非常流行的免费文本和源代码编辑器,适用于广泛的组织。
被篡改的安装程序的发现来自被称为“blackorbird”分析师的威胁分析师,而 Minerva Labs 则 报告了恶意软件。
执行 Notepad++ 安装程序后,该文件会在 C:\ProgramData\Microsoft 下创建一个名为“Windows Data”的文件夹,并删除以下三个文件:
- npp.8.1.7.Installer.x64.exe – C:\Users\Username\AppData\Local\Temp\ 文件夹下的原始 Notepad++ 安装文件。
- winpickr.exe - C:\Windows\System32 文件夹下的恶意文件。
- ntuis32.exe – C:\ProgramData\Microsoft\WindowsData 文件夹下的恶意键盘记录器
代码编辑器的安装按预期继续进行,受害者不会看到任何可能引起怀疑的异常情况。
设置完成后,会创建一个名为“PickerSrv”的新服务,通过启动执行建立恶意软件的持久性。
恶意软件创建的服务
来源:Minerva
该服务执行“ntuis32.exe”,它是恶意软件的键盘记录器组件,作为重叠窗口(使用 WS_MINIMIZEBOX 样式)。
键盘记录器记录所有用户击键并将它们保存到在“C:\ProgramData\Microsoft\WindowsData”文件夹中创建的隐藏系统文件中。该恶意软件还能够从系统中窃取文件和其他数据。
'winpickr.exe' 会持续检查该文件夹,当检测到新的日志文件时,该组件会建立 C2 连接以将窃取的数据上传给攻击者。
传输完成后,将删除原始日志以清除恶意活动的痕迹。
注意安全
如果您需要使用 Notepad++,请确保从项目网站获取安装程序。
该软件可在许多其他网站上使用,其中一些声称是官方 Notepad++ 门户,但可能包含广告软件或其他不需要的软件。
分析人员确定后,分发该安装程序的 URL 已被删除,但攻击者可以快速注册一个新的。
对您使用的所有软件工具采取相同的预防措施,无论它们多么小众,因为老练的参与者对适合水坑攻击的专门软件案例特别感兴趣。
在这种情况下,系统上的杀毒工具检测到的几率大约为 50%,因此使用最新的安全工具也很重要。
