Ataque ao Notepad++ atribuído a hackers chineses
Um grupo de pesquisadores de segurança da empresa Rapid7 identificou o grupo hacker responsável pelo ataque ao editor de códigos Notepad++. Embora os cibercriminosos não tenham assumido a autoria do incidente, os pesquisadores acreditam que sejam do grupo Lotus Blossom, ligado ao governo chinês.
O grupo Lotus Blossom é conhecido por atacar organizações no sudeste asiático e América Central com ciberespionagem, especialmente em setores governamentais, telecomunicações, aviação, infraestrutura e mídia. No caso do Notepad++, os hackers exploraram o sistema de atualização para entregar downloads maliciosos disfarçados.
Métodos de ataque
Os hackers utilizaram uma nova backdoor chamada Chrysalis, que tem diversas capacidades e garante acesso permanente. Além disso, eles utilizaram um arquivo executável chamado BluetoothService.exe, renomeado como um Instalador Bitdefender para carregamento lateral de DLL, técnica comum na China.
Os pesquisadores da Rapid7 encontraram similaridades entre ataques anteriores e o incidente do Notepad++, se baseando em estudos anteriores da Symantec. No entanto, não há certeza absoluta sobre os responsáveis, mas o uso de cadeias de execução conf.c e chaves públicas da Cobalt Strike dão uma confiança moderada nas conclusões da Rapid7.
- Os hackers exploraram o sistema de atualização do Notepad++ para entregar downloads maliciosos disfarçados.
- A backdoor Chrysalis tem diversas capacidades e garante acesso permanente.
- Os pesquisadores encontraram similaridades entre ataques anteriores e o incidente do Notepad++.
Embora não haja um número de vítimas confirmado, há vários indicadores possíveis de infecção publicados pela equipe da Rapid7 em seu site oficial. Os desenvolvedores do Notepad++ confiam na análise da Rapid7, mas não podem dar certezas sobre a origem do ataque.
Este conteúdo pode conter links de compra.
Fonte: link