StrongPityの亜種

新しいStrongPityが観測されています。
StrongPityは、APTグループの名前であり、マルウェアの名前でもあります。
有名なアプリケーションのインストーラーのなかに、マルウェアのインストール機能を混ぜて配布するという手法がとられています。
今は収束しているように見られますが、2016年ごろには、彼らはWinRARのインストーラーに彼らのマルウェアを混ぜて配布していました。

今回確認されているのは、次のようなものです。

• 人気のNotepad++のインストーラーとして配布する
  Windows環境で利用できる人気のテキストエディタです。
  各種コンピュータ言語の編集時に役に立つハイライト処理などの機能が整っているため、ソースコードエディタとしても人気があります。
• インストーラーを起動すると、3種のファイルが展開される
  • もともとインストールしようと思っていたNotepad++のインストーラー
  • winpickr.exe：永続化処理などを担当するマルウェア
  • ntuis32.exe：キーロガー
• 本来インストールされるはずのソフトウェアは通常にインストールされる
  利用者に見える範囲としては、本来インストールしようとしていたものがインストールされるので、怪しくはありません。
• PickerSrvという名前のサービスが勝手に登録され、これにより永続化がなされる
• キーロガーは、キー入力を保存する
• キーロガーには、ファイルを取得する機能も搭載されている
• PickerSrvは、新しいキーロガーの取得したデータを確認すると、C2に送る
• 持ち出し終わったキーロガーのデータファイルは、C2への送信後に削除する

うまく作られています。
なにかのアプリケーションの利用を開始する際には、公式な方法で入手しないとひどいことになります。

参考記事（外部リンク）：A new StrongPity variant hides behind Notepad++
installation
blog.minerva-labs.com/a-new-strongpity-variant-hides-behind-notepad-installation