Varian StrongPity Baru Bersembunyi Di Balik Instalasi Notepad++

HomeSoftware

Varian StrongPity Baru Bersembunyi Di Balik Instalasi Notepad++

Lebih 500 Ribu Pengguna Android Mengunduh Aplikasi Malware Joker Di Google Play Store
Rufus Portable 3.3
CISA, FBI, dan NSA Terbitkan Panduan Bersama dan Pemindai Kerentanan Log4j

Sekelompok peretas canggih yang dikenal StrongPity mengedarkan penginstal Notepad++ yang menginfeksi targetnya dengan malware.

Grup peretasan ini, juga dikenal sebagai APT-C-41 dan Promethium, sebelumnya pernah mendistribusikan penginstal WinRAR yang didalamnya terdapat trojan pada tahun 2016 dan 2018, sehingga cara ini bukanlah hal baru.

Notepad ++ merupakan editor teks dan open source yang sangat populer digunakan pada sistem operasi Microsoft Windows.

Malware ini dilaporkan oleh Minerva Labs dengan proses analisa ancaman yang dikenal ‘blackorbird’ analysts.

Setelah menjalankan penginstal Notepad++, file membuat folder bernama “Data Windows” di bawah C:\ProgramData\Microsoft, dan menyimpan tiga file berikut:

  • npp.8.1.7.Installer.x64.exe – the original Notepad++ installation file under C:\Users\Username\AppData\Local\Temp\ folder.
  • winpickr.exe – a malicious file under C:\Windows\System32 folder.
  • ntuis32.exe – malicious keylogger under C:\ProgramData\Microsoft\WindowsData folder

Pada proses instalasi tidak ditemukan sesuatu yang mencurigakan sehingga korban melihat proses ini merupakan hal yang biasa saja.

Service-Creation-notepad

Service Creation Photo By : Minerva Labs

Saat penyiapan selesai, dibuat service baru bernama “PickerSrv”, service ini akan menjalankan malware saat komputer diaktifkan.

Service ini mengeksekusi ‘ntuis32.exe’, yang merupakan komponen keylogger malware, sebagai jendela yang bertumpuk (menggunakan gaya WS_MINIMIZEBOX).

Keylogger mencatat semua penekanan tombol pengguna dan menyimpannya ke file sistem tersembunyi yang dibuat di folder ‘C:\ProgramData\Microsoft\WindowsData’. Malware juga memiliki kemampuan untuk mencuri file dan data lain dari sistem.

Folder ini terus diperiksa oleh ‘winpickr.exe,’ dan ketika file log baru terdeteksi, komponen membuat koneksi C2 untuk mengunggah data yang dicuri ke penyerang.

Setelah transfer selesai, log asli dihapus untuk menghapus jejak aktivitas berbahaya.

Untuk menghindari malware ini dan jika Anda memerlukan Notepad++, pastikan untuk mendapatkan penginstal notepad++ dari situs resmi notepad++.

Sumber Bleeping Computer dan Minerva Labs

[Copy]