Editor de código Notepad++ é usado por cibercriminosos para distribuir vírus
Por Dácio Castelo Branco | Editado por Claudio Yuge | 10 de Dezembro de 2021 às 21h20
Um grupo de ameaças virtuais sofisticadas chamado StrongPity está distribuindo seus agentes maliciosos a partir de instaladores do Notepad++, ferramenta de edição de texto e de programação de código aberto. O vírus em questão consegue registrar todas as informações digitadas no computador, e enviá-las para seus controladores.
- Ministério da Saúde invadido? ConectSUS sai do ar após suposto ataque
- Golpe do "celular provisório": Entenda como a fraude funciona
A descoberta do instalador modificado foi feita pelo analista de ameaças conhecido como blackorbird, enquanto a informação sobre o vírus foi divulgada em um relatório da firma de segurança Minerva Labs.
Após a execução e instalação do Notepad++ a partir da aplicação modificada, três novos arquivos são criados nos computadores:
- npp.8.1.7.Installer.x64.exe – o instalador original do editor de texto, sem as modificações;
- winpickr.exe - um arquivo malicioso usado para transferir dados para um servidor C2;
- ntuis32.exe – um keylogger, para registro de todos as informações digitadas na máquina.
A instalação do editor de texto é concluída normalmente, não levantando suspeitas dos usuários. O único sinal mais perceptível é a nova tarefa PickerSrv, que executa o keylogger da ameaça, assim iniciando o registro de informações tecladas no computador em um arquivo oculto, além de poder roubar documentos da máquina.
O winpickr.exe constantemente vasculha o arquivo oculto com os registros de tudo que foi digitado na máquina e, quando encontra dados novos, inicia uma conexão com um servidor de comando e controle (C2) para transferência das informações para os criminosos controladores. Ao finalizar o envio, a ameaça apaga o registro.
Como se proteger
No fechamento desta matéria, o endereço distribuidor do instalador modificado já havia sido retirado do ar, mas nada impede que o arquivo esteja disponível em outros sites.
A principal forma de se proteger deste ataque é baixar o Notepad++ a partir do site oficial do programa. Várias páginas na internet contam com o instalador, mas pode ser que eles já estejam distribuindo a versão com o vírus
Além disso, é importante usar soluções antivírus com as atualizações mais recentes, para assim aumentar as chances de detecção das ameaças mais recentes.
Fonte: BleepingComputer