Opgepast: Notepad++-installer met malware in de omloop

14 reacties

De Twitteraar Blackorbird waarschuwt dat een gemanipuleerde installer van Notepad++ de ronde doet. Hoewel het programma wel correct wordt geïnstalleerd, infecteert de malafide software ook het systeem van de gebruiker. De hackersgroep StrongPity zou verantwoordelijk zijn voor het verspreiden van de malware, in de loop van 2016-2018 hebben deze hackers soortgelijke aanvallen uitgevoerd door middel van aangepaste Truecrypt- en Winrar-software. 

Op het eerste gezicht is er niks aan de hand, de setup gebruikt ook het vertrouwde Notepad++-icoontje. Wanneer het bestand wordt uitgevoerd, worden drie verschillende bestanden gecreëerd op het betreffende systeem, op de volgende locaties: 

  • npp.8.1.7.Installer.x64.exe - het originele installatiebestand, in C:\Users\Username\AppData\Local\Temp\ 
  • winpickr.exe -  een schadelijk bestand, in C:\Windows\System32
  • ntuis32.exe - een keylogger, in C:\ProgramData\Microsoft\WindowsData

Hoewel de url die verantwoordelijk was voor het verspreiden van deze installer inmiddels offline werd gehaald, valt het niet uit te sluiten dat de hackers simpelweg een nieuwe webpagina in het leven roepen. Indien je Notepad++ of andere software wilt gebruiken, haal je best het installatieprogramma bij de originele, officiële bron. 

Bronnen: Blackorbird (Twitter), Minerva

« Vorig bericht Volgend bericht »
0