悪意の Notepad++ インストーラー:StrongPity マルウェアにログを抜き出される

Malicious Notepad++ installers push StrongPity malware

2021/12/09 BleepingComputer — StrongPity という洗練されたハッキング・グループが、Notepad++ のインストーラーにターゲットにして、マルウェアを拡散している。この、APT-C-41 および Promethium とも呼ばれるハッキング・グループは、2016年〜2018年にもトロイの木馬化した WinRAR インストーラーを拡散し、ターゲットを絞り込んだキャンペーン行っており、この手法は新しいものではない。

最近の StrongPity は、さまざまな組織で使用されている、Windows 用の無料テキスト/ソースコード・エディターである Notepad++ が含まれている。改ざんされたインストーラーの発見は、blackorbird という脅威アナリストによるものであると、Minerva Labs が報告している。この、悪意の Notepad++ インストーラーを実行すると、C:ProgramData\Microsoftの下に Windows Data というフォルダが作成され、以下の3つのファイルがドロップされる。

  • npp.8.1.7.Installer.x64.exe – Notepad++のインストール・ファイル
  • winpickr.exe – C:\Windows\System32 フォルダーにある悪意のファイル
  • ntuis32.exe – C:ʻProgramDataʼʼMicrosoftʼWindowsDataʼ フォルダにある悪質なキーロガー

    このコード・エディタの、悪意のインストールは予想通りに行われ、被害者が疑念を抱くような異常が目につくことはない。セットアップが終了すると、PickerSrv という名前の新しいサービスが作成され、スタートアップ時の実行により、マルウェアの持続性が確立される。このサービスは、マルウェアのキーロガー・コンポーネントである、ntuis32.exe をオーバーラップしたウィンドウとして実行される (WS_MINIMIZEBOX スタイルを使用)。

    このキーロガーは、ユーザーの全てのキーストロークを記録し、C:ProgramData\Microsoft\WindowsData フォルダに作成された、隠しシステム・ファイルに保存する。また、このマルウェアには、システムからファイルやデータを盗み出す機能も持っている。

    このフォルダは、winpickr.exe により継続的にチェックされ、新しいログファイルが検出されると C2 (Command and Control) 接続が確立され、盗み出したデータを攻撃者にアップロードする。そして、転送が完了すると、悪意のアクティビティの痕跡を消すために、元のログが削除される。

    安全性の確保

    Notepad++ を使用する必要がある場合には、プロジェクトの Web サイトからインストーラーを入手するようにすべきだ。このソフトウェアは、その他の多数の Web サイトでも入手が可能であり、その中にはNotepad++ の公式ポータルを名乗るものもあるが、アドウェアなどの不適切なソフトウェアが含まれている可能性がある。

    不正なインストーラーを配布していた URL は、アナリストたちの指摘を受けて削除されたが、脅威アクターが新しい URL を登録する可能性がある。洗練されたアクターたちは、ウォータリング・ホール攻撃に最適な、特殊なソフトウェアに強い関心を持っているため、どんなにニッチなソフトウェアツールであっても、使用している全てのソフトウェア・ツールに対して、その他と同様の注意を払うべきだ。この場合、システム上のアンチ・ウィルス・ツールで検出できる可能性は約 50% となるため、最新のセキュリティ・ツールを使用することも重要だ。

Windows ユーザーであれば、Notepad++ を使う方も多いと思います。正規のダウンロードサイト以外から、Notepad++ を取得すると、気づかないうちに大変なことになるかもしれません。ご注意ください。なお、文中にある WinRAR ですが、「Windows 用のファイル・アーカイブ WinRAR の RCE 脆弱性」と、「Memento ランサムウェアによる WinRAR 悪用の奇策とは?」という記事をポストしています。よろしければ、ご参照ください。

%d bloggers like this: