Los instaladores maliciosos de Notepad ++ impulsan el malware StrongPity

El sofisticado grupo de piratería conocido como StrongPity está circulando instaladores de Notepad ++ atados que infectan a los objetivos con malware.

Este grupo de piratería, también conocido como APT-C-41 y Promethium, se vio anteriormente distribuyendo  instaladores de WinRAR troyanizados  en campañas altamente específicas entre 2016 y 2018, por lo que esta técnica no es nueva.

El atractivo reciente involucra Notepad ++, un editor de texto y código fuente gratuito muy popular para Windows utilizado en una amplia gama de organizaciones.

El descubrimiento del instalador manipulado proviene de un analista de amenazas conocido como analistas 'blackorbird', mientras que  Minerva Labs  informa sobre el malware.


Al ejecutar el instalador de Notepad ++, el archivo crea una carpeta llamada "Datos de Windows" en C: \ ProgramData \ Microsoft y suelta los siguientes tres archivos:

- npp.8.1.7.Installer.x64.exe: el archivo de instalación original de Notepad ++ en la carpeta C: \ Users \ Username \ AppData \ Local \ Temp \.
- winpickr.exe: un archivo malicioso en la carpeta C: \ Windows \ System32.
- ntuis32.exe: registrador de teclas malicioso en la carpeta C: \ ProgramData \ Microsoft \ WindowsData

La instalación del editor de código continúa como se esperaba, y la víctima no verá nada fuera de lo común que pueda levantar sospechas.

Cuando finaliza la instalación, se crea un nuevo servicio llamado "PickerSrv", que establece la persistencia del malware a través de la ejecución de inicio.


Este servicio ejecuta 'ntuis32.exe', que es el componente keylogger del malware, como una ventana superpuesta (usando el estilo WS_MINIMIZEBOX).

El registrador de teclas registra todas las pulsaciones de teclas del usuario y las guarda en archivos de sistema ocultos que se crearon en la carpeta 'C: \ ProgramData \ Microsoft \ WindowsData'. El malware también tiene la capacidad de robar archivos y otros datos del sistema.

Esta carpeta es revisada continuamente por 'winpickr.exe', y cuando se detecta un nuevo archivo de registro, el componente establece una conexión C2 para cargar los datos robados a los atacantes.

Una vez que se ha completado la transferencia, el registro original se elimina para borrar los rastros de actividad maliciosa.

Mantenerse a salvo

Si necesita usar Notepad ++, asegúrese de obtener un instalador del sitio web del proyecto .

El software está disponible en muchos otros sitios web, algunos de los cuales afirman ser los portales oficiales de Notepad ++, pero pueden incluir adware u otro software no deseado.

La URL que distribuía el instalador enlazado se eliminó después de que los analistas la identificaron, pero los actores pudieron registrar rápidamente una nueva.

Siga las mismas precauciones con todas las herramientas de software que esté utilizando, sin importar cuán nicho sean, ya que los actores sofisticados están particularmente interesados ​​en casos de software especializados que son ideales para ataques de abrevadero.

En este caso, las posibilidades de detección de una herramienta AV en el sistema serían aproximadamente del 50%, por lo que el uso de herramientas de seguridad actualizadas también es esencial.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta