Sekelompok peretas canggih yang dikenal StrongPity mengedarkan penginstal Notepad++ yang menginfeksi targetnya dengan malware.
Grup peretasan ini, juga dikenal sebagai APT-C-41 dan Promethium, sebelumnya pernah mendistribusikan penginstal WinRAR yang didalamnya terdapat trojan pada tahun 2016 dan 2018, sehingga cara ini bukanlah hal baru.
Notepad ++ merupakan editor teks dan open source yang sangat populer digunakan pada sistem operasi Microsoft Windows.
Malware ini dilaporkan oleh Minerva Labs dengan proses analisa ancaman yang dikenal ‘blackorbird’ analysts.
#APT #StrongPity NotePad++ installer(npp.8.1.7.Installer.x64.exe)
78556a2fc01c40f64f11c76ef26ec3ff
http[:]//advancedtoenableplatform.com pic.twitter.com/eEXZWIObnH— blackorbird (@blackorbird) November 30, 2021
Setelah menjalankan penginstal Notepad++, file membuat folder bernama “Data Windows” di bawah C:\ProgramData\Microsoft, dan menyimpan tiga file berikut:
- npp.8.1.7.Installer.x64.exe – the original Notepad++ installation file under C:\Users\Username\AppData\Local\Temp\ folder.
- winpickr.exe – a malicious file under C:\Windows\System32 folder.
- ntuis32.exe – malicious keylogger under C:\ProgramData\Microsoft\WindowsData folder
Pada proses instalasi tidak ditemukan sesuatu yang mencurigakan sehingga korban melihat proses ini merupakan hal yang biasa saja.
Saat penyiapan selesai, dibuat service baru bernama “PickerSrv”, service ini akan menjalankan malware saat komputer diaktifkan.
Service ini mengeksekusi ‘ntuis32.exe’, yang merupakan komponen keylogger malware, sebagai jendela yang bertumpuk (menggunakan gaya WS_MINIMIZEBOX).
Keylogger mencatat semua penekanan tombol pengguna dan menyimpannya ke file sistem tersembunyi yang dibuat di folder ‘C:\ProgramData\Microsoft\WindowsData’. Malware juga memiliki kemampuan untuk mencuri file dan data lain dari sistem.
Folder ini terus diperiksa oleh ‘winpickr.exe,’ dan ketika file log baru terdeteksi, komponen membuat koneksi C2 untuk mengunggah data yang dicuri ke penyerang.
Setelah transfer selesai, log asli dihapus untuk menghapus jejak aktivitas berbahaya.
Untuk menghindari malware ini dan jika Anda memerlukan Notepad++, pastikan untuk mendapatkan penginstal notepad++ dari situs resmi notepad++.
Sumber Bleeping Computer dan Minerva Labs