Publicidade

Editor de código Notepad++ é usado por cibercriminosos para distribuir vírus

Por| Editado por Claudio Yuge | 10 de Dezembro de 2021 às 21h20

Link copiado!

Divulgação/Gerd Altamann/Pixabay
Divulgação/Gerd Altamann/Pixabay

Um grupo de ameaças virtuais sofisticadas chamado StrongPity está distribuindo seus agentes maliciosos a partir de instaladores do Notepad++, ferramenta de edição de texto e de programação de código aberto. O vírus em questão consegue registrar todas as informações digitadas no computador, e enviá-las para seus controladores.

A descoberta do instalador modificado foi feita pelo analista de ameaças conhecido como blackorbird, enquanto a informação sobre o vírus foi divulgada em um relatório da firma de segurança Minerva Labs.

Após a execução e instalação do Notepad++ a partir da aplicação modificada, três novos arquivos são criados nos computadores:

Continua após a publicidade
  • npp.8.1.7.Installer.x64.exe – o instalador original do editor de texto, sem as modificações;
  • winpickr.exe - um arquivo malicioso usado para transferir dados para um servidor C2;
  • ntuis32.exe – um keylogger, para registro de todos as informações digitadas na máquina.

A instalação do editor de texto é concluída normalmente, não levantando suspeitas dos usuários. O único sinal mais perceptível é a nova tarefa PickerSrv, que executa o keylogger da ameaça, assim iniciando o registro de informações tecladas no computador em um arquivo oculto, além de poder roubar documentos da máquina.

Continua após a publicidade

O winpickr.exe constantemente vasculha o arquivo oculto com os registros de tudo que foi digitado na máquina e, quando encontra dados novos, inicia uma conexão com um servidor de comando e controle (C2) para transferência das informações para os criminosos controladores. Ao finalizar o envio, a ameaça apaga o registro.

Como se proteger

No fechamento desta matéria, o endereço distribuidor do instalador modificado já havia sido retirado do ar, mas nada impede que o arquivo esteja disponível em outros sites.

A principal forma de se proteger deste ataque é baixar o Notepad++ a partir do site oficial do programa. Várias páginas na internet contam com o instalador, mas pode ser que eles já estejam distribuindo a versão com o vírus

Continua após a publicidade

Além disso, é importante usar soluções antivírus com as atualizações mais recentes, para assim aumentar as chances de detecção das ameaças mais recentes.

Fonte: BleepingComputer