Editor de código Notepad++ é usado por cibercriminosos para distribuir vírus

Um grupo de ameaças virtuais sofisticadas chamado StrongPity está distribuindo seus agentes maliciosos a partir de instaladores do Notepad++, ferramenta de edição de texto e de programação de código aberto. O vírus em questão consegue registrar todas as informações digitadas no computador, e enviá-las para seus controladores.

A descoberta do instalador modificado foi feita pelo analista de ameaças conhecido como blackorbird, enquanto a informação sobre o vírus foi divulgada em um relatório da firma de segurança Minerva Labs.

Após a execução e instalação do Notepad++ a partir da aplicação modificada, três novos arquivos são criados nos computadores:

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

  • npp.8.1.7.Installer.x64.exe – o instalador original do editor de texto, sem as modificações;
  • winpickr.exe – um arquivo malicioso usado para transferir dados para um servidor C2;
  • ntuis32.exe – um keylogger, para registro de todos as informações digitadas na máquina.

A instalação do editor de texto é concluída normalmente, não levantando suspeitas dos usuários. O único sinal mais perceptível é a nova tarefa PickerSrv, que executa o keylogger da ameaça, assim iniciando o registro de informações tecladas no computador em um arquivo oculto, além de poder roubar documentos da máquina.

O winpickr.exe constantemente vasculha o arquivo oculto com os registros de tudo que foi digitado na máquina e, quando encontra dados novos, inicia uma conexão com um servidor de comando e controle (C2) para transferência das informações para os criminosos controladores. Ao finalizar o envio, a ameaça apaga o registro.

Como se proteger

No fechamento desta matéria, o endereço distribuidor do instalador modificado já havia sido retirado do ar, mas nada impede que o arquivo esteja disponível em outros sites.

A principal forma de se proteger deste ataque é baixar o Notepad++ a partir do site oficial do programa. Várias páginas na internet contam com o instalador, mas pode ser que eles já estejam distribuindo a versão com o vírus

Além disso, é importante usar soluções antivírus com as atualizações mais recentes, para assim aumentar as chances de detecção das ameaças mais recentes.

Fonte: BleepingComputer

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.

Fonte feed: canaltech.com.br

Veja também

Menu