Notepad++是一款受歡迎的文字及程式編輯器,近日安全廠商發現,駭客利用假冒Notepad-++的安裝器(installer)讓用戶電腦感染惡意程式,可能是和一個國家駭客組織有關。

最近安全研究人員發現到許多開發人員愛用的編碼程式Notepad++被用來當成惡意攻擊的工具。Notepad++安裝程式被武裝化(weaponized)改造並透過非官方下載網站散布。

安全廠商Minera研究人員以其感染手法判斷,類似StrongPity行為模式,它是一群國家駭客,又被稱為APT-C-41 或Promethium。StrongPity首見於2012年,經常在特定合法軟體中加入後門程式而散布。安全廠商卡巴斯基2016年發現StrongPity利用Truecrypt及Winrar等安裝程式於比利時、義大利等地散布。去年研究人員發現它涉入土耳其軍事行動

Minerva分析,當使用者下載Notepad++ setup.exe,就展開了三階段的攻擊過程。Setup.exe一經啟動,會植入3個程式,第一個是正牌的Notepad++安裝檔,但另外丟入兩個惡意程式,分別是winpickr.exe及鍵盤側錄程式ntuis32.exe。winpickr.exe負責執行ntuis32.exe,後者將用戶鍵擊儲存成隱藏的系統唯讀.tbl檔,執行時還會縮小視窗以免被發現。之後winpickr.exe搜尋這些檔案,並將之傳送給外部C&C伺服器,最後將用戶電腦上的.tbl檔刪除。

安全廠商呼籲,為避免受害,最好方法是從官方網站下載程式。


熱門新聞

Advertisement