Via Notepad++ verspreidde backdoor gebruikte antivirus om zichzelf te laden

In dit artikel:

Aanvallers hebben maandenlang via gemanipuleerde Notepad++-updates een backdoor verspreid, blijkt uit onderzoek van securitybedrijf Rapid7. Gisteren werd bekend dat kwaadwillenden toegang hadden tot de shared hostingserver van Notepad++ en zo schadelijke updates aan geselecteerde gebruikers konden leveren. Notepad++ is vooral populair bij ontwikkelaars.

De geïnfecteerde update installeerde een onderdeel van Bitdefender (de Submission Wizard) op het systeem en misbruikte een zwakte in die software om een kwaadaardige DLL te laten inladen (dll-sideloading). Om detectie te vermijden werd die Bitdefender-component hernoemd naar "BluetoothService". Via de kwaadaardige DLL werd uiteindelijk de Chrysalis-backdoor geactiveerd, die systeeminformatie verzamelt, verbinding maakt met een command-and-control-server en aanvallers volledige controle geeft — inclusief datadiefstal, aanvullende malware-installatie en het verwijderen van de backdoor.

Gebruikers van Notepad++ wordt aangeraden updates alleen van de officiële bron te halen, hun systemen te scannen en waar nodig software opnieuw te installeren of te controleren op verdachte processen.