Фальшивый установщик Notepad++ содержит зловред StrongPity
Группа хакеров StrongPity, существующая с 2012 года и также известная как APT-C-41 и PROMETHIUM, начала распространять зараженные зловредом установщики Notepad++. В 2016 году вредонос StrongPity был обнаружен «Лабораторией Касперского» в ходе кибератак на пользователей ПО Truecrypt и Winrar в Бельгии и Италии. И, похоже, как раз с 2016 по 2018 года группа отрабатывала возможности заражения через поддельные установщики.
На данный момент зараженный инсталлятор обнаружил пользователь blackorbird, о чем сообщил в своем твиттере. Скорее всего, выбор злоумышленников падает на бесплатное ПО, которое часто используется для работы.
Специалисты из компании Minerva указали пути, где располагается вирус, и как он появляется у пользователя. Во время запуска ненастоящего установщика все выглядит как обычная установка программы без сбоев или подозрительных действий. Однако, при запуске вредоносный файл создает новую папку с именем «WindowsData» в C:\ProgramData\Microsoft и размещает три файла:
npp.8.1.7.Installer.x64.exe (оригинальный установщик Notepad ++) в папку C:\Users\Username\AppData\Local\Temp;
winpickr.exe — вредоносный файл в папку C:\Windows\System32;
ntuis32.exe — кейлоггер в папку C:\ProgramData\Microsoft \WindowsData.
И параллельно установке оригинального ПО в фоновом режиме загружаются программы злоумышленников. В конце установки setup.exe запускает файл winpickr, который создает новую службу PickerSrv (в службах будет отображаться как FilePicker UI Server).
Далее эта служба будет запускаться автоматически вместе с системой, и злоумышленники смогут контролировать все действия жертвы, к примеру, нажатия клавиш.
