Un grupo de investigadores que se dedica detectar vulnerabilidades de programas o detectar campañas de software malicioso, ha descubierto una campaña dirigida al editor de texto Notepad++.
El programa en sí es de confianza, pero los atacantes han conseguido corromperlo, el ataque se centra en una técnica conocida como secuestro de DLL, los atacantes han modificado un complemento del programa para ejecutar el código malicioso cada vez que se ejecuta el programa. Cómo es obvio, los usuarios que inician la aplicación no son conscientes que, en segundo plano, se está ejecutando dicho código.
¿Cómo sabemos si estamos afectados?
Es muy fácil los ciberdelincuentes, agregaron un archivo llamado “certificate.pem” que enmascara una Shell cifrada. Muchos de los antivirus no detectan dicha infección debido a qué cada vez que se ejecuta el código sobrescribe el código dentro de otro complemento dentro del programa e inyecta un hilo al proceso de Windows “explorer.exe”.
La técnica empleada se llama Wikiloader, su objetivo principal, es la de recopilar información del sistema infectado, la información que recopila es el nombre de la computadora y nombre de usuario, nivel de acceso, es decir, si el usuario es administrador del sistema o no, además de, configuración de idioma y sistema.
¿Cómo evitamos este problema?
Estos problemas son muy frecuentes, ahora le ha tocado a la aplicación Notepad++ pero mañana puede ser otra, para evitar este problema siempre debemos descargar las aplicaciones desde los sitios web oficiales de la aplicación. Cuando tengamos que actualizar la aplicación, siempre hacerlo desde la propia aplicación dado que conectará con los servidores principales de la compañía y no actualizarlo desde cualquier web.