Alcune copie dell’installer di NotePad++, software molto noto per le sue funzionalità dedicate agli sviluppatori, conterrebbero una copia del malware creato dalla crew di cybercriminali conosciuta con il nome di StrongPity. Agli utenti che desiderano utilizzare questa applicazione si consiglia quindi di scaricarla unicamente dal sito ufficiale del progetto o altra fonte affidabile.
Nel caso specifico di StrongPity parliamo di una backdoor inserita in un package perfettamente funzionante, distribuito tramite marketplace o siti Internet di terze parti esso contiene l’eseguibile per l’installazione di NotePad++, un file infetto chiamato winpickr.exe e un keylogger, ntuis32.exe, che ha il compito di monitorare le attività del sistema ospitante.
L’azione di winpickr.exe consiste nella generazione di un nuovo servizio di sistema che prende il nome di PickerSrv e viene lanciato direttamente al momento dell’avvio, quest’ultimo inizializza a sua volta il keylogger che memorizza le digitazioni effettuate tramite la tastiera e le scrive in dei file ".tbl" nascosti e spediti verso un server esterno.
Il rischio derivante da un’infezione è quindi quello di inviare dati personali e credenziali per l’accesso ad aree riservate ad utenti malintenzionate che potrebbero utilizzare questo tipo di informazioni nel corso di ulteriori attacchi. Il malware è comunque facilmente rilevabile dagli antivirus ed è quindi meno efficace nel caso di controlli frequenti.
StrongPity opera ormai dal 2012 e non è la prima volta che utilizza una tecnica di questo tipo (watering hole) per raccogliere dati in modo illecito, noto anche come PROMETHIUM e APT-C-41 è stato al centro dell’attenzione delle security house per la distribuzione di copie infette di altri software molto utilizzati come per esempio WinRAR e TrueCrypt.