back to top

NotePad++: attenzione agli installer

Alcune copie dell’installer di NotePad++, software molto noto per le sue funzionalità dedicate agli sviluppatori, conterrebbero una copia del malware creato dalla crew di cybercriminali conosciuta con il nome di StrongPity. Agli utenti che desiderano utilizzare questa applicazione si consiglia quindi di scaricarla unicamente dal sito ufficiale del progetto o altra fonte affidabile.

Nel caso specifico di StrongPity parliamo di una backdoor inserita in un package perfettamente funzionante, distribuito tramite marketplace o siti Internet di terze parti esso contiene l’eseguibile per l’installazione di NotePad++, un file infetto chiamato winpickr.exe e un keylogger, ntuis32.exe, che ha il compito di monitorare le attività del sistema ospitante.

L’azione di winpickr.exe consiste nella generazione di un nuovo servizio di sistema che prende il nome di PickerSrv e viene lanciato direttamente al momento dell’avvio, quest’ultimo inizializza a sua volta il keylogger che memorizza le digitazioni effettuate tramite la tastiera e le scrive in dei file ".tbl" nascosti e spediti verso un server esterno.

Il rischio derivante da un’infezione è quindi quello di inviare dati personali e credenziali per l’accesso ad aree riservate ad utenti malintenzionate che potrebbero utilizzare questo tipo di informazioni nel corso di ulteriori attacchi. Il malware è comunque facilmente rilevabile dagli antivirus ed è quindi meno efficace nel caso di controlli frequenti.

StrongPity opera ormai dal 2012 e non è la prima volta che utilizza una tecnica di questo tipo (watering hole) per raccogliere dati in modo illecito, noto anche come PROMETHIUM e APT-C-41 è stato al centro dell’attenzione delle security house per la distribuzione di copie infette di altri software molto utilizzati come per esempio WinRAR e TrueCrypt.

Pubblicità
Claudio Garau
Claudio Garau
Web developer, programmatore, Database Administrator, Linux Admin, docente e copywriter specializzato in contenuti sulle tecnologie orientate a Web, mobile, Cybersecurity e Digital Marketing per sviluppatori, PA e imprese.

Leggi anche...

Winos4.0 sfrutta App di Gaming per controllare Windows

Alcuni cybercriminali starebbero sfruttando applicazioni legate ai videogiochi per...

FakeUpdate dei browser per installare il malware WarmCookie

Un nuovo attacco informatico basato sulla tecnica del FakeUpdate...

Chrome: scansione dei file contro i malware

Google Chrome, il browser Web più utilizzato al mondo,...

regreSSHion: i server OpenSSH sono vulnerabili

Stando a quanto riportato dagli esperti di sicurezza di...

Google: l’AI di SGE suggerisce siti di spam

La SGE (Search Generative Experience) è una nuova funzionalità...

HP: attenzione ai rischi delle cartucce non originali

Enrique Lores, CEO di HP, è stato recentemente protagonista...
Pubblicità