Группа высококвалифицированных киберпреступников, известная под именем StrongPity, распространяет модифицированные установщики текстового редактора Notepad++. Цель — заразить жертв вредоносной программой, скрывающейся в этом инсталляторе.
Эта APT-группировка также известна под именами APT-C-41 и Promethium, ранее её участники использовали вредоносные установщики архиватора WinRAR. В период между 2016 и 2018 годом злоумышленники особенно активно проводили целевые кибератаки, в ходе которых и «обкатали» использование фейковых инсталляторов. На этот раз выбор хакеров пал на Notepad++, поскольку этот текстовый редактор с открытым исходным кодом используется во многих организациях. На недавние атаки обратил внимание исследователь под ником «blackorbird», а специалисты Minerva Labs рассказали о самой вредоносной программе.
После запуска модифицированного установщика Notepad++ на компьютере жертвы создаётся директория с именем «Windows Data», которая лежит в
C:\ProgramData\Microsoft. Далее в систему копируются три файла: npp.8.1.7.Installer.x64.exe — оригинальный установщик Notepad++ (в папку
C:\Users\Username\AppData\Local\Temp\). winpickr.exe — вредоносный файл в системную директорию C:\Windows\System32. ntuis32.exe - кейлоггер в каталог
C:\ProgramData\Microsoft\WindowsData. Процесс инсталляции текстового редактора идёт без ошибок и не прерывается, чтобы у пользователя не возникло никаких
сомнений в том, что он воспользовался легитимным инсталлятором. Далее в ОС создаётся служба «PickerSrv», обеспечивающая запуск вредоносной программы при каждом старте операционной системы. После этого злоумышленники могут свободно фиксировать активность жертвы, записывать нажатия клавиш и т. п.
Источник: APT-группировка StrongPity прячет вредонос в инсталляторе Notepad++
Эта APT-группировка также известна под именами APT-C-41 и Promethium, ранее её участники использовали вредоносные установщики архиватора WinRAR. В период между 2016 и 2018 годом злоумышленники особенно активно проводили целевые кибератаки, в ходе которых и «обкатали» использование фейковых инсталляторов. На этот раз выбор хакеров пал на Notepad++, поскольку этот текстовый редактор с открытым исходным кодом используется во многих организациях. На недавние атаки обратил внимание исследователь под ником «blackorbird», а специалисты Minerva Labs рассказали о самой вредоносной программе.
После запуска модифицированного установщика Notepad++ на компьютере жертвы создаётся директория с именем «Windows Data», которая лежит в
C:\ProgramData\Microsoft. Далее в систему копируются три файла: npp.8.1.7.Installer.x64.exe — оригинальный установщик Notepad++ (в папку
C:\Users\Username\AppData\Local\Temp\). winpickr.exe — вредоносный файл в системную директорию C:\Windows\System32. ntuis32.exe - кейлоггер в каталог
C:\ProgramData\Microsoft\WindowsData. Процесс инсталляции текстового редактора идёт без ошибок и не прерывается, чтобы у пользователя не возникло никаких
сомнений в том, что он воспользовался легитимным инсталлятором. Далее в ОС создаётся служба «PickerSrv», обеспечивающая запуск вредоносной программы при каждом старте операционной системы. После этого злоумышленники могут свободно фиксировать активность жертвы, записывать нажатия клавиш и т. п.
Источник: APT-группировка StrongPity прячет вредонос в инсталляторе Notepad++
