NEW - Der Feed des Merlin Images jetzt bei BoxPirates - NEW

NEW - BoxPirates Plugin Feed - NEW
Unsere Plugins direkt über den Plugin Browser eure Box installierbar

Vorsicht: Manipulierter Installer für Notepad++ verteilt Malware

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Vorsicht: Manipulierter Installer für Notepad++ verteilt Malware

      Es gibt eine neue Warnung vor gefälschten, manipulierten Installern
      beliebter Windows-Software. Wie jetzt bekannt wurde, verwendet die
      Hackergruppe StrongPity nun Notepad++, um Malware zu verbreiten. Zuvor
      hatten sie schon Fake-WinRAR-Software "angeboten".


      Ziel von Hackergruppe StrongPity alias APT-C-41 oder Promethium ist es,
      mithilfe von bekannten gratis Software-Angeboten ihre Malware Huckepack
      mit auf das System ihrer Opfer zu bringen. Das klappt trotz der diversen
      Vorsichtsmaßnahmen, die Nutzer betreiben, noch immer verhältnismäßig
      gut. Jetzt wurde bekannt, dass ein manipulierter neuer Installer im Netz
      kursiert. Der jüngste Köder ist laut dem Online-Magazin Bleeping
      Computer der beliebte Editor Notepad++. Der kostenlose Text- und
      Quellcode-Editor für Windows wird von der Gruppe als Installer
      angeboten, bei dem sich die Opfer gleich noch eine Malware mit
      installieren.


      Beim Ausführen des Notepad++-Installationsprogramms erstellt die Datei
      einen Ordner namens "Windows Data" unter C:\ProgramData\Microsoft und
      legt die folgenden drei Dateien ab:


      npp.8.1.7.Installer.x64.exe (die ursprüngliche
      Notepad++-Installationsdatei im Ordner
      "C:\Benutzer\Benutzername\AppData\Local\Temp\")
      winpickr.exe (eine bösartige Datei im Ordner C:\Windows\System32)
      ntuis32.exe (bösartiger Keylogger im Ordner C:\ProgramData\Microsoft\WindowsData)


      Die Installation des Code-Editors verläuft wie erwartet und als Opfer
      wird man zunächst bei dem Vorgang nichts Ungewöhnliches bemerken, das
      einen Verdacht erregen könnte. Nach Abschluss des Setups wird dann ein
      neuer Dienst namens "PickerSrv" erstellt, der das Einschleusen der
      Malware ermöglicht.
      Hacker verschleiern ihr Tun
      Dieser Dienst führt "ntuis32.exe", die Keylogger-Komponente der Malware,
      aus. Im Anschluss sind die Hacker dann in der Lage, alle
      Tastatur-Eingaben mitzuschneiden. Eine weitere Komponente startet dann
      die Übertragung von sensiblen Daten an die Cybergangster. Laut dem
      Bericht von Bleeping Computer löschen die Hacker ihre Spuren und die
      Übertragungsprotokolle, sodass das Nachvollziehen des Datendiebstahls
      erschwert wird.
      Vorsicht bei unbekannten Quellen
      Um nicht auf solche Installer hereinzufallen, die Malware gleich mit
      installieren, solltet ihr Software nur aus vertrauenswürdigen, geprüften
      Quellen beziehen. Im WinFuture-Download-Bereich werden die Programme
      regelmäßig auf Schadcode überprüft.




      Quelle; winfuture