Złosiliwy kod w popularnej wtyczce “mimeTools.dll” Notepad++
7.04.2024
Jak donosi AhnLab SEcurity Intelligence Centre (ASEC), popularna wtyczka Notepad++ “mimeTools.dll” dostarczająca funkcje kodowania, takie jak Base64, została wykorzystana przez atakujących w celu umożliwienia wstrzyknięcia złośliwego kodu na systemie urzytkownika.
Odkryto, że wtyczka „mimeTools.dll”, podszywa się pod legalny pakiet, nakłaniając użytkowników do pobrania i zainstalowania skompromitowanej wersji.
Atakujący wykorzystali technikę znanej jako DLL Hijacking.
Po uruchomieniu Notepad++.exe, plik „mimeTools.dll” jest automatycznie ładowany, powodując aktywację osadzonego złośliwego kodu, bez żadnych dalszych działań ze strony użytkownika.
Pamiętaj, pobieraj oprogramowanie wyłącznie z oficjalnych źródeł dystrybucji, aby uniknąć ryzyka związanego z zainfekowanymi wtyczkami lub narzędziami.
IOC:
[MD5]
- c4ac3b4ce7aa4ca1234d2d3787323de2 : package file(npp.8.6.3.portable.x64.zip)
- 6136ce65b22f59b9f8e564863820720b : mimeTools.dll
- fe4237ab7847f3c235406b9ac90ca845 : certificate.pem
- d29f25c4b162f6a19d4c6b96a540648c : package file(npp.8.6.4.portable.x64.zip)
- 8b7a358005eff6c44d66e44f5b266d33 : mimeTools.dll
- d5ea5ad8678f362bac86875cad47ba21 : certificate.pem
[C&C]
- hxxps://car*.com/wp-content/themes/twentytwentytwo/nnzknr.php?id=1
- hxxps://pro**.net/wp-content/themes/twentytwentythree/hyhnv3.php?id=1
- hxxps://www.era.eu/wp-content/themes/twentytwentyfour/dqyzqp.php?id=1
- hxxps://www.mar**.it/wp-content/themes/twentytwentyfour/c2hitq.php?id=1
- hxxps://osa*.com/wp-content/themes/twentytwentythree/ovqugo.php?id=1
- hxxps://www.ala.com/wp-content/themes/twentytwentyfour/34uo7s.php?id=1
- hxxps://13*.org/wp-content/themes/twentytwentythree/t51kkf.php?id=1
- hxxps://alt.com/wp-content/themes/twentytwentyfour/c9wfar.php?id=1
- hxxps://www.am*.com/wp-content/themes/twentyten/b9un4f.php?id=1
- hxxps://lu*.com/wp-content/themes/twentytwentytwo/pam8oa.php?id=1
- hxxps://www.yu*.de/wp-content/themes/twentytwentytwo/n2gd2t.php?id=1
Daniel Wysocki
Daniel Wysocki to absolwent wydziału Inżynierii Mechanicznej i Robotyki na Akademii Górniczo-Hutniczej w Krakowie.
Jego kariera w branży IT trwa już dwie dekady, podczas których zdobył bogate doświadczenie i umiejętności.
Obecnie pełni funkcję Kierownika Działu Cyberbezpieczeństwa w firmie Advatech, lidera w dostarczaniu nowoczesnych rozwiązań technologicznych. Jako ekspert od cyberbezpieczeństwa, nieustannie poszukuje i wprowadza w życie najnowocześniejsze i najskuteczniejsze rozwiązania do ochrony danych i infrastruktury IT. Korzysta z innowacyjnych osiągnięć branży cyberbezpieczeństwa, aby zapewnić najwyższy poziom zabezpieczeń i odporności na ataki.
