Es gibt eine neue Warnung vor gefälschten, manipulierten Installern beliebter Windows-Software. Wie jetzt bekannt wurde, verwendet die Hackergruppe StrongPity nun Notepad++, um Malware zu verbreiten. Zuvor hatten sie schon Fake-WinRAR-Software "angeboten".
Ziel von Hackergruppe StrongPity alias APT-C-41 oder Promethium ist es, mithilfe von bekannten gratis Software-Angeboten ihre Malware Huckepack mit auf das System ihrer Opfer zu bringen. Das klappt trotz der diversen Vorsichtsmaßnahmen, die Nutzer betreiben, noch immer verhältnismäßig gut. Jetzt wurde bekannt, dass ein manipulierter neuer Installer im Netz kursiert. Der jüngste Köder ist laut dem Online-Magazin Bleeping Computer der beliebte Editor Notepad++. Der kostenlose Text- und Quellcode-Editor für Windows wird von der Gruppe als Installer angeboten, bei dem sich die Opfer gleich noch eine Malware mit installieren.
Beim Ausführen des Notepad++-Installationsprogramms erstellt die Datei einen Ordner namens "Windows Data" unter C:\ProgramData\Microsoft und legt die folgenden drei Dateien ab:
Quelle; winfuture
Ziel von Hackergruppe StrongPity alias APT-C-41 oder Promethium ist es, mithilfe von bekannten gratis Software-Angeboten ihre Malware Huckepack mit auf das System ihrer Opfer zu bringen. Das klappt trotz der diversen Vorsichtsmaßnahmen, die Nutzer betreiben, noch immer verhältnismäßig gut. Jetzt wurde bekannt, dass ein manipulierter neuer Installer im Netz kursiert. Der jüngste Köder ist laut dem Online-Magazin Bleeping Computer der beliebte Editor Notepad++. Der kostenlose Text- und Quellcode-Editor für Windows wird von der Gruppe als Installer angeboten, bei dem sich die Opfer gleich noch eine Malware mit installieren.
Beim Ausführen des Notepad++-Installationsprogramms erstellt die Datei einen Ordner namens "Windows Data" unter C:\ProgramData\Microsoft und legt die folgenden drei Dateien ab:
- npp.8.1.7.Installer.x64.exe (die ursprüngliche Notepad++-Installationsdatei im Ordner "C:\Benutzer\Benutzername\AppData\Local\Temp\")
- winpickr.exe (eine bösartige Datei im Ordner C:\Windows\System32)
- ntuis32.exe (bösartiger Keylogger im Ordner C:\ProgramData\Microsoft\WindowsData)
Hacker verschleiern ihr Tun
Dieser Dienst führt "ntuis32.exe", die Keylogger-Komponente der Malware, aus. Im Anschluss sind die Hacker dann in der Lage, alle Tastatur-Eingaben mitzuschneiden. Eine weitere Komponente startet dann die Übertragung von sensiblen Daten an die Cybergangster. Laut dem Bericht von Bleeping Computer löschen die Hacker ihre Spuren und die Übertragungsprotokolle, sodass das Nachvollziehen des Datendiebstahls erschwert wird.Vorsicht bei unbekannten Quellen
Um nicht auf solche Installer hereinzufallen, die Malware gleich mit installieren, solltet ihr Software nur aus vertrauenswürdigen, geprüften Quellen beziehen. Im WinFuture-Download-Bereich werden die Programme regelmäßig auf Schadcode überprüft.Quelle; winfuture
