ATTACCO Watering hole

StrongPity, il malware che si nasconde in finti installer di Notepad++: i dettagli

Il gruppo hacker StrongPity torna all’attacco. Il malware, che prima i criminal hacker nascondevano negli installer di WinRAR e TrueCrypt, ora è in download nell’installer di Notepad++. I consigli per difendersi dalla nuova variante

10 Dic 2021
C
Mirella Castigli

Giornalista

I criminal hacker della gang criminale StrongPity tornano alla ribalta con una nuova variante del loro malware. Noti fin dal 2012, anche con sotto il nome di APT-C-41 o Promethium, i criminal hacker che sfruttavano la popolarità di WinRAR e TrueCrypt, oggi riprendono la scena nascondendo il loro codice malevolo nell’installer dell’applicazione Notepad++, il famoso editor di testo e codice sorgente gratuito per Windows molto popolare e utilizzato in un gran numero di organizzazioni.

Il gruppo usa una tecnica che non è nuova, il watering hole: “La scelta di utilizzare come vettore di attacco versioni malevole di popolari software è molto comune in attacchi da parte di criminali informatici e attori nation-state”, esordisce Pierluigi Paganini, analista di cyber security e CEO Cybhorus.

Il ritorno di StrongPity

A scoprire la nuova variante del malware sono stati i cyber esperti di Minerva Labs che hanno rilasciato il report.

In precedenza, nella campagna che risale al biennio 2016-2018, il gruppo di criminal hacking StrongPity era famoso per introdurre backdoor a programmi informatici popolari e legittimi come WinRAR e TrueCrypt. Oggi è un’altra applicazione molto conosciuta, Notepad++, a nascondere il malware nell’installer del software fasullo.

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza

StrongPity: attacco in tre tempi

In passato abbiamo osservato diverse campagne che utilizzavano versioni di popolari software come WinRAR e Adobe Reader a cui veniva aggiunto il codice malevolo atto ad avviare il processo di infezione del sistema delle vittime”, spiega Paganini: “La procedura di installazione qdi ueste versioni malevole non desta alcun sospetto nelle vittime in quanto al termine della stessa sul sistema è installato il software desiderato, peccato che in background siano installate anche le componenti di software malevoli da parte degli attaccanti“.

Nella prima fase, infatti, chi cerca la popolare applicazione Notepad++ non si rivolge allo store ufficiale, ma a siti di terze parti, lasciandosi trarre in inganno da un software fasullo che però clona l’icona originale. La vittima effettua il download del software nalevolo e lo installa.

Nella seconda fase, il malware genera una cartella chiamata Windows Data in C:/ProgramData/Microsoft.

Nel corso della procedura di installazione, avviene la copia di tre file:

  • npp.8.1.7.Installer.x64.exe: il file di installazione originale è copiato in C:/Users/Username/AppData/Local/Temp;
  • winpickr.exe: il file malevolo in C:/Windows/System32;
  • ntuis32.exe: il keylogger infetto in C:/ProgramDataMicrosoftWindowsData.

Mentre si effettua l’esecuzione dell’installer, in background avviene anche quella degli altri due file. Il file winpickr.exe genera PickerSrv: all’avvio del sistema operativo, esegue il nuovo servizio che a sua volta lancia il file ntuis32.exe.

A quel punto, il keylogger, uno strumento in grado d’intercettare e salvare ogni input proveniente dalla tastiera, inizia a memorizzare i tasti pigiati, nascondendoli in una serie di file contenenti estensione .tbl. La directory C:/ProgramData/Microsoft/WindowsData copia i file nascosti e poi li spedisce a un server remoto. L’ignara vittima non si accorge nulla.

Come difendersi da StrongPity

Tutti gli antimalware e i principali antivirus riconoscono StrongPity. Inoltre, gli esperti di cybersecurity sconsigliano sempre di effettuare il download di applicazioni e software da marketplace non ufficiali: “Il suggerimento è quello di installare sempre software scaricato dal sito ufficiale del vendor”, conclude Paganini: “A meno di attacchi alla supply chain, questo accorgimento neutralizza questo tipo di attacchi. Buona norma è anche quella di comparare l’hash del software scaricato con quello dichiarato dal vendor in modo da metterci a riparo da attacchi di man-in-the-middle che potrebbero inficiare l’integrità dei software scaricati”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3