Kelompok peretas canggih yang dikenal sebagai StrongPity mengedarkan penginstal Notepad++ yang menginfeksi target dengan malware.
Grup peretasan ini, juga dikenal sebagai APT-C-41 dan Promethium, sebelumnya pernah mendistribusikan penginstal WinRAR yang di-trojan dalam kampanye yang bertarget tinggi antara 2016 dan 2018, jadi teknik ini bukanlah hal baru.

Daya tarik baru ini melibatkan Notepad ++, editor teks dan kode sumber gratis yang sangat populer untuk Windows yang digunakan di berbagai perusahaan.  Penemuan installer yang dirusak berasal dari seorang analis ancaman yang dikenal sebagai analis ‘blackorbird’, sementara Minerva Labs melaporkan malware tersebut.

Setelah menjalankan penginstal Notepad++, file akan membuat folder bernama “Windows Data” yang berada di C:\ProgramData\Microsoft dan berisi file berikut:
8.1.7.Installer.x64.exe, file instalasi Notepad++ asli di C:\Users\Username\AppData\Local\Temp\.
exe, file berbahaya di C:\Windows\System32.
exe, keylogger berbahaya di C:\ProgramData\Microsoft\WindowsData
Instalasi editor kode akan berlanjut sesuai rencana dan korban tidak akan curiga.
Saat semua langkah selesai, layanan baru bernama “PickerSrv” akan secara otomatis dibuat, ini dapat berfungsi untuk menetapkan persistensi malware melalui eksekusi startup.
Layanan ini mengeksekusi ‘ntuis32.exe’ yang merupakan komponen keylogger malware, sebagai window yang tumpang tindih (menggunakan gaya WS_MINIMIZEBOX).
Keylogger ini mencatat semua penekanan tombol pengguna dan menyimpannya ke file sistem tersembunyi yang dibuat pada folder ‘C:\ProgramData\Microsoft\WindowsData’. Malware juga memiliki kemampuan untuk mencuri file dan data lain dari sistem.
Folder ini selanjutnya akan diperiksa oleh ‘winpickr.exe’ ketika file log baru terdeteksi, komponen membuat koneksi C2 untuk mengunggah data yang dicuri ke penyerang.
Setelah transfer selesai, log asli akan dihapus demi menghapus jejak aktivitas berbahaya.

Pencegahan dan Mitigasi  Rencana
Jaga Keamanan Data
Jika kita perlu menggunakan Notepad++, pastikan untuk mendapatkan penginstal dari situs web proyek atau web resmi.
Software ini sudah tersedia di banyak situs web lain, beberapa di antaranya mengklaim sebagai portal Notepad ++ resmi, tetapi mungkin masih ada adware atau software lain yang tidak diinginkan.
URL yang mendistribusikan penginstal dan dicampur akan dihapus setelah diidentifikasi oleh analis, tetapi para aktor dapat dengan cepat mendaftarkan yang baru.
Ikuti tindakan pencegahan yang sama dengan semua software yang kita gunakan, tidak peduli seberapa niche mereka, karena aktor canggih sangat tertarik pada kasus software khusus yang ideal untuk watering hole attacks.

Dalam hal ini, kemungkinan deteksi dari alat AV pada sistem kira-kira 50%, jadi menggunakan alat keamanan yang selalu update juga penting!