駭客利用冒牌Notepad++安裝器散布竊密軟體

Notepad++是一款受歡迎的文字及程式編輯器，近日安全廠商發現，駭客利用假冒Notepad-++的安裝器（installer）讓用戶電腦感染惡意程式，可能是和一個國家駭客組織有關。

最近安全研究人員發現到許多開發人員愛用的編碼程式Notepad++被用來當成惡意攻擊的工具。Notepad++安裝程式被武裝化（weaponized）改造並透過非官方下載網站散布。

安全廠商Minera研究人員以其感染手法判斷，類似StrongPity行為模式，它是一群國家駭客，又被稱為APT-C-41 或Promethium。StrongPity首見於2012年，經常在特定合法軟體中加入後門程式而散布。安全廠商卡巴斯基2016年發現StrongPity利用Truecrypt及Winrar等安裝程式於比利時、義大利等地散布。去年研究人員發現它涉入土耳其軍事行動。

Minerva分析，當使用者下載Notepad++ setup.exe，就展開了三階段的攻擊過程。Setup.exe一經啟動，會植入3個程式，第一個是正牌的Notepad++安裝檔，但另外丟入兩個惡意程式，分別是winpickr.exe及鍵盤側錄程式ntuis32.exe。winpickr.exe負責執行ntuis32.exe，後者將用戶鍵擊儲存成隱藏的系統唯讀.tbl檔，執行時還會縮小視窗以免被發現。之後winpickr.exe搜尋這些檔案，並將之傳送給外部C&C伺服器，最後將用戶電腦上的.tbl檔刪除。

安全廠商呼籲，為避免受害，最好方法是從官方網站下載程式。