Strongpity, una nuova versione del malware terrorizza i notepad

Strongpity, una nuova versione del malware terrorizza i notepad: cosa fare per prevenire l’attacco al proprio pc.

Assolutamente importante per evitare l’attacco di virus al proprio pc è scaricare sempre i software dai siti ufficiali. In molti però non seguono questo suggerimento e ciò è dimostrato dall’ampia diffusione del malware StrongPity. Gli esperti di Minerva Labs hanno scoperto che una nuova variante è nascosta nell’installer della popolare applicazione Notepad++ distribuita tramite siti di terze parti. Scopriamo insieme di cosa di tratta.

LEGGI ANCHE >>> Netflix, indiscrezione bomba: sarà gratis su Android

Strongpity, la nuova versione del malware

StrongPity è un gruppo di cybercriminali attivo dal 2012 che aggiunge backdoor a software legittimi utilizzati da specifici utenti, questa tecnica prende il nome di watering hole. Kaspersky ha scoperto nel 2016 che il malware è stato nascosto negli installer di WinRAR e TrueCrypt scaricati principalmente in Italia e Belgio. Pare che i cybercriminali stanno ora sfruttando la popolarità di Notepad++. L’attacco avviene principalmente in tre fasi. La vittima scarica e installa il software fasullo anche se l’icona è quella originale. Viene quindi creata la directory WindowsData in C:\ProgramData\Microsoft. Successivamente vengono copiati tre file.

POTREBBE INTERESSARTI ANCHE >>> Gmail, nuova funzione per gli utenti: cosa cambia

Durante la procedura di installazione vengono eseguiti in background anche gli ultimi due file. Il file winpickr.exe crea il nuovo servizio PickerSrv, eseguito all’avvio del sistema operativo. Questo poi esegue il file ntuis32.exe. Il keylogger inizia quindi a salvare i tasti premuti in vari file nascosti con estensione .tbl. Questi ultimi vengono copiati nella directory C:\ProgramData\Microsoft\WindowsData e successivamente inviati ad un server remoto. Fortunatamente StrongPity viene rilevato da quasi tutti gli antivirus. Per evitare problemi di questo tipo è sconsigliato il download di software da siti non ufficiali. La versione più recente (8.1.9.3) di Notepad++ può essere infatti scaricata dal sito dello sviluppatore.