Scaricare sempre i software dai siti ufficiali. Questo ovvio suggerimento non viene recepito da tutti, come dimostra la diffusione del malware StrongPity. Gli esperti di Minerva Labs hanno scoperto che una nuova variante è stata nascosta nell’installer della popolare applicazione Notepad++ distribuita tramite siti di terze parti.
StrongPity colpisce ancora
StrongPity (noto anche come APT-C-41 e PROMETHIUM) è un gruppo di cybercriminali attivo dal 2012 che aggiunge backdoor a software legittimi utilizzati da specifici utenti, una tecnica nota come watering hole. Kaspersky ha scoperto nel 2016 che il malware è stato nascosto negli installer di WinRAR e TrueCrypt scaricati principalmente in Italia e Belgio. Ora i cybercriminali hanno sfruttato la popolarità di Notepad++.
L’attacco avviene in tre fasi. L’ignara vittima scarica e installa il software fasullo (ma l’icona è quella originale). Viene quindi creata la directory WindowsData in C:\ProgramData\Microsoft. Successivamente vengono copiati tre file:
npp.8.1.7.Installer.x64.exe
(il file di installazione originale) in C:\Users\Username\AppData\Local\Temp\winpickr.exe
(un file infetto) in C:\Windows\System32ntuis32.exe
(un keylogger) in C:\ProgramData\Microsoft\WindowsData
Durante la procedura di installazione vengono eseguiti in background anche gli ultimi due file. Il file winpickr.exe
crea il nuovo servizio PickerSrv (eseguito all’avvio del sistema operativo) che a sua volta esegue il file ntuis32.exe
. Il keylogger inizia quindi a salvare i tasti premuti in vari file nascosti con estensione .tbl
. Questi ultimi vengono copiati nella directory C:\ProgramData\Microsoft\WindowsData e successivamente inviati ad un server remoto.
Fortunatamente StrongPity viene rilevato da quasi tutti gli antivirus. Per evitare problemi è fortemente sconsigliato il download di software da siti non ufficiali. La versione più recente (8.1.9.3) di Notepad++ può essere scaricata dal sito dello sviluppatore.