Аналитический центр AhnLab Security (ASEC) обнаружил распространение вредоносной модифицированной версии файла "mimeTools.dll", который является плагином для программы Notepad++. Вредоносный файл был включен в установочный пакет определенной версии Notepad++ и маскировался под легитимный файл пакета. Злоумышленник использовал технику DLL-хайджекинга, чтобы при запуске Notepad++ автоматически загрузить вредоносный плагин mimeTools.dll. Этот плагин содержит закодированный вредоносный шелл-код, который выполняется при его расшифровке. Вредоносное поведение начинается сразу после запуска программы и может привести к инъекции потоков в explorer.exe и выполнению дополнительного вредоносного шелл-кода.
Штамм вредоносного ПО также использует техники непрямого вызова системы, чтобы обойти средства защиты от вредоносных программ, контролирующие Native API. Расшифрованный шелл-код создается в процессе Notepad++ и использует модули Crypt32.dll и BCrypt.dll для преобразования файла certificate.pem в исполняемый код. Затем, с помощью модификации точки входа BingMaps.dll, шелл-код перезаписывается в экспортную функцию GetBingMapsFactory(). Это позволяет злоумышленнику выполнить инъекцию потоков в explorer.exe.
Функция GetBingMapsFactory(), которая была перезаписана в вредоносном шелл-коде, проверяет активные процессы для определения наличия средств анализа, таких как виртуальные машины. Затем она производит вычисления SHIFT и XOR над именами процессов, чтобы создать хэш-значение и проверить его на наличие определенных процессов. Если хэш-значение совпадает, то вредоносный код завершает работу без выполнения дополнительных вредоносных действий.
Этот штамм вредоносного ПО представляет серьезную угрозу безопасности, так как он может обойти средства защиты и выполнить различные вредоносные действия. Пользователям рекомендуется обновить Notepad++ до последней версии и проверить наличие вредоносного плагина mimeTools.dll в своей установке программы. Также очень важно иметь установленное антивирусное программное обеспечение и операционную систему обновленной до последней версии, чтобы минимизировать риск заражения вредоносными программами.
Indicators of Compromise
URI
- /wp-content/themes/twentyten/b9un4f.php?id=1
- /wp-content/themes/twentytwentyfour/34uo7s.php?id=1
- /wp-content/themes/twentytwentyfour/c2hitq.php?id=1
- /wp-content/themes/twentytwentyfour/c9wfar.php?id=1
- /wp-content/themes/twentytwentyfour/dqyzqp.php?id=1
- /wp-content/themes/twentytwentythree/hyhnv3.php?id=1
- /wp-content/themes/twentytwentythree/ovqugo.php?id=1
- /wp-content/themes/twentytwentythree/t51kkf.php?id=1
- /wp-content/themes/twentytwentytwo/n2gd2t.php?id=1
- /wp-content/themes/twentytwentytwo/nnzknr.php?id=1
- /wp-content/themes/twentytwentytwo/pam8oa.php?id=1
MD5
- 6136ce65b22f59b9f8e564863820720b
- 8b7a358005eff6c44d66e44f5b266d33
- c4ac3b4ce7aa4ca1234d2d3787323de2
- d29f25c4b162f6a19d4c6b96a540648c
- d5ea5ad8678f362bac86875cad47ba21
- fe4237ab7847f3c235406b9ac90ca845