Os plug-ins do Notepad++ permitem que invasores se infiltrem

Os plug-ins do Notepad++ permitem que invasores se infiltrem em sistemas e obtenham persistência.

Os atores de ameaças podem abusar dos plug-ins do Notepad++ para contornar os mecanismos de segurança e obter persistência na máquina da vítima, sugere uma nova pesquisa da empresa de segurança Cybereason .

“Usando um projeto de código aberto, Notepad ++ Plugin Pack, um pesquisador de segurança que atende pelo nome de RastaMouse conseguiu demonstrar como construir um plugin malicioso que pode ser usado como um mecanismo de persistência”, escreveu a empresa em um comunicado na quarta-feira.

O próprio pacote de plug-ins é apenas um pacote .NET para o Visual Studio que fornece um modelo básico para a construção de plug-ins. No entanto, grupos de ameaças persistentes avançadas (APT) aproveitaram os plug-ins do Notepad ++ para fins nefastos no passado.

“O grupo APT StrongPity é conhecido por alavancar um instalador legítimo do Notepad ++ acompanhado de executáveis ​​maliciosos, permitindo que ele persista após uma reinicialização em uma máquina”, diz o comunicado da Cybereason.

“Esse backdoor permite que esse agente de ameaças instale um keylogger na máquina e se comunique com um servidor C2 para enviar a saída desse software.”

Em seu conselho, a equipe da Cybereason analisou o mecanismo de carregamento do plugin Notepad++ e elaborou um cenário de ataque com base nesse vetor.

Usando a linguagem de programação C#, os especialistas em segurança criaram uma biblioteca de links dinâmicos (DLL) executando um comando do PowerShell na primeira vez que pressionar qualquer tecla dentro do Notepad++. 

“Em nosso cenário de ataque, o comando do PowerShell executará uma carga útil do Meterpreter”, escreveu a empresa.

A Cybereason então executou o Notepad++ como ‘administrador‘ e reexecutou a carga útil, gerenciando efetivamente para obter privilégios administrativos no sistema afetado.

Para mitigar essa ameaça, os especialistas em segurança disseram que as empresas devem monitorar processos filho incomuns do Notepad ++ e prestar atenção especial aos tipos de produtos shell.

Para obter mais informações sobre o cenário de ataque, o aviso original da Cybereason está disponível neste link.

De forma mais geral, os plugins são frequentemente explorados como vetores de ataque por agentes mal-intencionados. Por exemplo, na semana passada, o Wordfence relatou uma falha de dia zero em um plugin do WordPress chamado BackupBuddy com cinco milhões de instalações.

Fonte: Dark Reading

Veja também:

• Perfis falsos de CISO no LinkedIn visam Fortune 500s
• Atacantes precisam de menos de 10 horas para encontrar fraquezas
• Prilex é um agente de ameaças brasileiro que evoluiu de ATM para POS
• Microsoft Exchange comprometidos por aplicativos OAuth
• Novo malware Chaos infecta dispositivos Windows e Linux para ataques DDoS
• Hacker que violou a Optus pede desculpas e retira pedido de resgate
• Domain Shadowing – Técnica avançada de comprometimento de sites na internet
• Muitas empresas não confiam na segurança em ambientes de nuvem híbrida
• Diferença entre análise de vulnerabilidades e gerenciamento de vulnerabilidades
• TCE-RS fica fora do ar e suspende sessões por tempo indeterminado
• Fortinet lança novo serviço de treinamento e conscientização sobre segurança cibernética
• A importância da segurança da informação para o desenvolvimento dos negócios