Investigadores de seguridad del Centro de Respuesta a Emergencias de Seguridad
de AhnLab (ASEC) han descubierto una
sofisticada campaña de malware
dirigida al ampliamente utilizado editor de texto Notepad++. Este ataque,
denominado «WikiLoader», demuestra el alarmante ingenio de los actores de
amenazas modernos y los riesgos asociados incluso con el software
aparentemente confiable.
Cómo WikiLoader explota la confianza
En el centro de este ataque se encuentra una técnica conocida como secuestro
de DLL. Los atacantes modificaron subrepticiamente un complemento
predeterminado de Notepad++, «mimeTools.dll», para ejecutar código
malicioso cada vez que se inicia el editor de texto. Dado que este complemento
se incluye con cada instalación de Notepad++, los usuarios desencadenan la
infección sin saberlo tan pronto como utilizan el software.
Dentro del complemento vulnerable, los atacantes ocultaron cuidadosamente su
carga útil. Un archivo disfrazado de certificado inofensivo,
«certificate.pem», enmascara una shell cifrada: la etapa inicial
del ataque. La complejidad aumenta a medida que el malware sobrescribe el
código dentro de otro complemento, «BingMaps.dll», e inyecta un hilo en
el proceso central de Windows «explorer.exe». Esto garantiza la
persistencia y hace que el ataque sea más difícil de detectar.
La campaña WikiLoader muestra múltiples tácticas diseñadas para frustrar la
detección antivirus:
-
Ocultarse a plena vista: el uso de llamadas al sistema indirectas (llamadas
al sistema) ayuda a que el malware evite ser señalado por las herramientas
de monitoreo estándar. -
Jugando al gato y al ratón: el malware busca activamente procesos comúnmente
utilizados para el análisis. Si se detecta alguno, se apaga inmediatamente
para evitar una investigación más profunda.
Los actores de amenazas detrás de WikiLoader tienen un objetivo claro:
establecer un punto de apoyo en la computadora de la víctima. Lo hacen
haciendo que el Notepad++ comprometido se conecte con un servidor de comando y
control (C2) que se hace pasar inteligentemente por una página de inicio de
sesión de WordPress. Es desde aquí desde donde se entrega la carga útil final
del malware, aunque sus capacidades exactas aún no se han revelado por
completo.
La misión de reconocimiento de WikiLoader
Incluso sin la carga útil final, WikiLoader plantea un riesgo importante al
recopilar meticulosamente información sobre el sistema infectado. Esto
incluye:
- Nombre de la computadora y nombre de usuario
- Nivel de acceso de administrador
- Configuración de idioma y sistema
Pasos críticos para los usuarios de Notepad++ y más
El descubrimiento del malware WikiLoader dentro de Notepad++ subraya las
vulnerabilidades inherentes a las aplicaciones de software ampliamente
utilizadas. La facilidad con la que el malware se integra en las herramientas
cotidianas resalta la necesidad crítica de vigilancia, incluso cuando se trata
de software en el que millones de personas confían y utilizan con frecuencia.
-
La fuente importa: descargue siempre
Notepad++
y cualquier otro software, exclusivamente de fuentes oficiales y confiables.
El software pirateado plantea riesgos importantes. -
Parche inmediatamente: si es usuario de Notepad++, asegúrese de tener la
última versión para mitigar este exploit. -
La vigilancia es clave: tenga mucho cuidado con comportamientos inesperados
en su sistema, incluso con software conocido. Manténgase informado sobre las
amenazas actuales a la ciberseguridad.
IOC
- c4ac3b4ce7aa4ca1234d2d3787323de2 : package file(npp.8.6.3.portable.x64.zip)
- 6136ce65b22f59b9f8e564863820720b : mimeTools.dll
- fe4237ab7847f3c235406b9ac90ca8 45: certificate.pem
- d29f25c4b162f6a19d4c6b96a540648c: package file(npp.8.6.4.portable.x64.zip )
- 8b7a358005eff6c44d66e44f5b266d33 : mimeTools.dll
- d5ea5ad8678f362bac86875cad47ba21 : certificate.pem
Fuente:
SecurityOnline