Es gibt eine neue Warnung vor gefälschten, manipulierten Installern
beliebter Windows-Software. Wie jetzt bekannt wurde, verwendet die
Hackergruppe StrongPity nun Notepad++, um Malware zu verbreiten. Zuvor
hatten sie schon Fake-WinRAR-Software "angeboten".
Ziel von Hackergruppe StrongPity alias APT-C-41 oder Promethium ist es,
mithilfe von bekannten gratis Software-Angeboten ihre Malware Huckepack
mit auf das System ihrer Opfer zu bringen. Das klappt trotz der diversen
Vorsichtsmaßnahmen, die Nutzer betreiben, noch immer verhältnismäßig
gut. Jetzt wurde bekannt, dass ein manipulierter neuer Installer im Netz
kursiert. Der jüngste Köder ist laut dem Online-Magazin Bleeping
Computer der beliebte Editor Notepad++. Der kostenlose Text- und
Quellcode-Editor für Windows wird von der Gruppe als Installer
angeboten, bei dem sich die Opfer gleich noch eine Malware mit
installieren.
Beim Ausführen des Notepad++-Installationsprogramms erstellt die Datei
einen Ordner namens "Windows Data" unter C:\ProgramData\Microsoft und
legt die folgenden drei Dateien ab:
npp.8.1.7.Installer.x64.exe (die ursprüngliche
Notepad++-Installationsdatei im Ordner
"C:\Benutzer\Benutzername\AppData\Local\Temp\")
winpickr.exe (eine bösartige Datei im Ordner C:\Windows\System32)
ntuis32.exe (bösartiger Keylogger im Ordner C:\ProgramData\Microsoft\WindowsData)
Die Installation des Code-Editors verläuft wie erwartet und als Opfer
wird man zunächst bei dem Vorgang nichts Ungewöhnliches bemerken, das
einen Verdacht erregen könnte. Nach Abschluss des Setups wird dann ein
neuer Dienst namens "PickerSrv" erstellt, der das Einschleusen der
Malware ermöglicht.
Hacker verschleiern ihr Tun
Dieser Dienst führt "ntuis32.exe", die Keylogger-Komponente der Malware,
aus. Im Anschluss sind die Hacker dann in der Lage, alle
Tastatur-Eingaben mitzuschneiden. Eine weitere Komponente startet dann
die Übertragung von sensiblen Daten an die Cybergangster. Laut dem
Bericht von Bleeping Computer löschen die Hacker ihre Spuren und die
Übertragungsprotokolle, sodass das Nachvollziehen des Datendiebstahls
erschwert wird.
Vorsicht bei unbekannten Quellen
Um nicht auf solche Installer hereinzufallen, die Malware gleich mit
installieren, solltet ihr Software nur aus vertrauenswürdigen, geprüften
Quellen beziehen. Im WinFuture-Download-Bereich werden die Programme
regelmäßig auf Schadcode überprüft.
Quelle; winfuture
beliebter Windows-Software. Wie jetzt bekannt wurde, verwendet die
Hackergruppe StrongPity nun Notepad++, um Malware zu verbreiten. Zuvor
hatten sie schon Fake-WinRAR-Software "angeboten".
Ziel von Hackergruppe StrongPity alias APT-C-41 oder Promethium ist es,
mithilfe von bekannten gratis Software-Angeboten ihre Malware Huckepack
mit auf das System ihrer Opfer zu bringen. Das klappt trotz der diversen
Vorsichtsmaßnahmen, die Nutzer betreiben, noch immer verhältnismäßig
gut. Jetzt wurde bekannt, dass ein manipulierter neuer Installer im Netz
kursiert. Der jüngste Köder ist laut dem Online-Magazin Bleeping
Computer der beliebte Editor Notepad++. Der kostenlose Text- und
Quellcode-Editor für Windows wird von der Gruppe als Installer
angeboten, bei dem sich die Opfer gleich noch eine Malware mit
installieren.
Beim Ausführen des Notepad++-Installationsprogramms erstellt die Datei
einen Ordner namens "Windows Data" unter C:\ProgramData\Microsoft und
legt die folgenden drei Dateien ab:
npp.8.1.7.Installer.x64.exe (die ursprüngliche
Notepad++-Installationsdatei im Ordner
"C:\Benutzer\Benutzername\AppData\Local\Temp\")
winpickr.exe (eine bösartige Datei im Ordner C:\Windows\System32)
ntuis32.exe (bösartiger Keylogger im Ordner C:\ProgramData\Microsoft\WindowsData)
Die Installation des Code-Editors verläuft wie erwartet und als Opfer
wird man zunächst bei dem Vorgang nichts Ungewöhnliches bemerken, das
einen Verdacht erregen könnte. Nach Abschluss des Setups wird dann ein
neuer Dienst namens "PickerSrv" erstellt, der das Einschleusen der
Malware ermöglicht.
Hacker verschleiern ihr Tun
Dieser Dienst führt "ntuis32.exe", die Keylogger-Komponente der Malware,
aus. Im Anschluss sind die Hacker dann in der Lage, alle
Tastatur-Eingaben mitzuschneiden. Eine weitere Komponente startet dann
die Übertragung von sensiblen Daten an die Cybergangster. Laut dem
Bericht von Bleeping Computer löschen die Hacker ihre Spuren und die
Übertragungsprotokolle, sodass das Nachvollziehen des Datendiebstahls
erschwert wird.
Vorsicht bei unbekannten Quellen
Um nicht auf solche Installer hereinzufallen, die Malware gleich mit
installieren, solltet ihr Software nur aus vertrauenswürdigen, geprüften
Quellen beziehen. Im WinFuture-Download-Bereich werden die Programme
regelmäßig auf Schadcode überprüft.
Quelle; winfuture