Notepad++: Malware nel software – Parte 1 

Pubblicato da u145 il

A Giugno 2022 è stata analizzata una campagna Malware (segnalazione) che sfrutta Google Ads e tecniche di SEO Poisoning per distribuire il malware RedLine Stealer sottoforma di installer Notepad++(Drive-By Compromise ; tattica: Accesso Iniziale).

Obiettivo della campagna sono i sistemi italiani e reparti tecnici IT. Sono infatti 2686 i sistemi compromessi da RedLine e messi in vendita negli ultimi 90 giorni (prezzo medio 10$).

La vittima, una volta avviato il file di installazione, esegue inconsapevolmente il Malware RedLine Stealer.

Alcune considerazioni:

  • RedLine è uno fra i Malware più attivi
  • i sistemi vittima vengono venduti in 2 diversi Black Market
  • gli account dei venditori sono circa 15
  • prezzo medio di vendita per postazione: 10$
  • 2686 i sistemi italiani messi in vendita negli ultimi 90 giorni
Notepad++ Backdoor

Come difendersi

  • attivando un servizio specialistico per la protezione da Cyber Attack (Maggiori informazioni)
  • applicando un blocco perimetrale per il dominio notepad-edit-text[.]org (rimuovendo [ ])
  • ponendo maggiore attenzione ai siti internet utilizzati per il download di software da installare nei sistemi aziendali
  • eseguire attività di Threat Hunting per la ricerca di potenziali compromissioni

Cosa non fare

  • applicare blocco perimetrale per gli indirizzi IP (presenza di CDN Cloudflare)
  • disinstallare versioni lecite del software Notepad++
  • impedire l’accesso ai siti internet ufficiali del software Notepad++

SEO Poisoning

Il SEO poisoning, o search poisoning, è una tecnica offensiva in cui i criminali creano siti Web malevoli facendoli apparire fra i primi risultati dei motori di ricerca. In questo modo è possibile creare una campagna offensiva targettizzata per vittime specifiche che ricercano determinate parole chiave.

Lo scopo degli attaccanti è quello di convincere la vittima ad eseguire il download di software malevolo.

Analisi del Sito

Eseguendo la ricerca “notepad++” tramite il motore di ricerca Google ecco apparire il banner pubblicitario:

Esempio reale della pubblicità al sito malevolo

Il sito internet risulta essere una copia della versione originale di Notepad++. Al suo interno, al percorso https://notepad-edit-text[.]org/downloads, è presente la lista delle versioni precedenti, ma i relativi link non sono funzionanti e restituiscono il codice di errore 404.

L’unico link funzionante per il download del software malevolo è quello relativo alla versione 8.4.1.

Il Threat Actor ha erroneamente mantenuto un link non più funzionante all’indirizzo “https://notepad-plus-plus.apps4p[.]org/

Analisi dei Domini

Il dominio notepad-edit-text[.]org è stato registrato il 23 maggio 2022, attualmente protetto dal servizio Cloudflare che ne maschera i reali indirizzi di origine.

Fake Notepad infrastructure 1
Grafo di notepad-edit-text[.]org
Fake Notepad infrastructure 1
Grafo di notepad-plus-plus.apps4p[.]org

Dal WHOIS dei siti non risulta possibile ottenere informazioni utili:

Registry Registrant ID: REDACTED FOR PRIVACY
Registrant Name: REDACTED FOR PRIVACY
Registrant Organization: unknown
Registrant Street: REDACTED FOR PRIVACY
Registrant City: REDACTED FOR PRIVACY
Registrant State/Province: VA
Registrant Postal Code: REDACTED FOR PRIVACY
Registrant Country: US
Registrant Phone: REDACTED FOR PRIVACY
Registrant Phone Ext: REDACTED FOR PRIVACY
Registrant Fax: REDACTED FOR PRIVACY
Registrant Fax Ext: REDACTED FOR PRIVACY

Informazioni su *-edit-text[.]org

Registry Registrant ID: REDACTED FOR PRIVACY
Registrant Name: REDACTED FOR PRIVACY
Registrant Organization: unknown
Registrant Street: REDACTED FOR PRIVACY
Registrant City: REDACTED FOR PRIVACY
Registrant State/Province: VA
Registrant Postal Code: REDACTED FOR PRIVACY
Registrant Country: US
Registrant Phone: REDACTED FOR PRIVACY
Registrant Phone Ext: REDACTED FOR PRIVACY
Registrant Fax: REDACTED FOR PRIVACY
Registrant Fax Ext: REDACTED FOR PRIVACY

Informazioni su *-plus-plus.apps4p[.]org

Analisi del IP C2

Il malware contatta l’indirizzo IP 194.36.177[.]124 geolocalizzato in Ucraina e già associato in precedenza ad altre operazioni riconducibili a Malware RedLine Stealer.

Command and Control

Indicatori di Compromissione – IOC

Domini dei siti malevoli:

  • notepad-edit-text.org
  • notepad-plus-plus.apps4p.org

IP del server C2:

  • 194.36.177.124