I criminal hacker della gang criminale StrongPity tornano alla ribalta con una nuova variante del loro malware. Noti fin dal 2012, anche con sotto il nome di APT-C-41 o Promethium, i criminal hacker che sfruttavano la popolarità di WinRAR e TrueCrypt, oggi riprendono la scena nascondendo il loro codice malevolo nell’installer dell’applicazione Notepad++, il famoso editor di testo e codice sorgente gratuito per Windows molto popolare e utilizzato in un gran numero di organizzazioni.
Il gruppo usa una tecnica che non è nuova, il watering hole: “La scelta di utilizzare come vettore di attacco versioni malevole di popolari software è molto comune in attacchi da parte di criminali informatici e attori nation-state”, esordisce Pierluigi Paganini, analista di cyber security e CEO Cybhorus.
Indice degli argomenti
Il ritorno di StrongPity
A scoprire la nuova variante del malware sono stati i cyber esperti di Minerva Labs che hanno rilasciato il report.
#APT #StrongPity NotePad++ installer(npp.8.1.7.Installer.x64.exe)
78556a2fc01c40f64f11c76ef26ec3ff
http[:]//advancedtoenableplatform.com pic.twitter.com/eEXZWIObnH— blackorbird (@blackorbird) November 30, 2021
In precedenza, nella campagna che risale al biennio 2016-2018, il gruppo di criminal hacking StrongPity era famoso per introdurre backdoor a programmi informatici popolari e legittimi come WinRAR e TrueCrypt. Oggi è un’altra applicazione molto conosciuta, Notepad++, a nascondere il malware nell’installer del software fasullo.
StrongPity: attacco in tre tempi
“In passato abbiamo osservato diverse campagne che utilizzavano versioni di popolari software come WinRAR e Adobe Reader a cui veniva aggiunto il codice malevolo atto ad avviare il processo di infezione del sistema delle vittime”, spiega Paganini: “La procedura di installazione qdi ueste versioni malevole non desta alcun sospetto nelle vittime in quanto al termine della stessa sul sistema è installato il software desiderato, peccato che in background siano installate anche le componenti di software malevoli da parte degli attaccanti“.
Nella prima fase, infatti, chi cerca la popolare applicazione Notepad++ non si rivolge allo store ufficiale, ma a siti di terze parti, lasciandosi trarre in inganno da un software fasullo che però clona l’icona originale. La vittima effettua il download del software nalevolo e lo installa.
Nella seconda fase, il malware genera una cartella chiamata Windows Data in C:/ProgramData/Microsoft.
Nel corso della procedura di installazione, avviene la copia di tre file:
- npp.8.1.7.Installer.x64.exe: il file di installazione originale è copiato in C:/Users/Username/AppData/Local/Temp;
- winpickr.exe: il file malevolo in C:/Windows/System32;
- ntuis32.exe: il keylogger infetto in C:/ProgramDataMicrosoftWindowsData.
Mentre si effettua l’esecuzione dell’installer, in background avviene anche quella degli altri due file. Il file winpickr.exe genera PickerSrv: all’avvio del sistema operativo, esegue il nuovo servizio che a sua volta lancia il file ntuis32.exe.
A quel punto, il keylogger, uno strumento in grado d’intercettare e salvare ogni input proveniente dalla tastiera, inizia a memorizzare i tasti pigiati, nascondendoli in una serie di file contenenti estensione .tbl. La directory C:/ProgramData/Microsoft/WindowsData copia i file nascosti e poi li spedisce a un server remoto. L’ignara vittima non si accorge nulla.
Come difendersi da StrongPity
Tutti gli antimalware e i principali antivirus riconoscono StrongPity. Inoltre, gli esperti di cybersecurity sconsigliano sempre di effettuare il download di applicazioni e software da marketplace non ufficiali: “Il suggerimento è quello di installare sempre software scaricato dal sito ufficiale del vendor”, conclude Paganini: “A meno di attacchi alla supply chain, questo accorgimento neutralizza questo tipo di attacchi. Buona norma è anche quella di comparare l’hash del software scaricato con quello dichiarato dal vendor in modo da metterci a riparo da attacchi di man-in-the-middle che potrebbero inficiare l’integrità dei software scaricati”.
