Via Notepad++ verspreidde backdoor gebruikte antivirus om zichzelf te laden

[Captain Kirk]

De backdoor die maandenlang onder gebruikers van de populaire editor Notepad++ werd verspreid gebruikte software van antivirusbedrijf Bitdefender om zichzelf te laden. Dat laat securitybedrijf Rapid7 in een analyse weten. Gisteren werd bekend dat aanvallers maandenlang toegang tot de shared hostingserver van Notepad++ hadden en via een kwetsbaarheid in de software malafide updates onder geselecteerde gebruikers konden verspreiden. Notepad++ is vooral populair bij softwareontwikkelaars.

Via de updates werd een backdoor bij doelwitten geïnstalleerd, aldus onderzoekers van Rapid7. Zodra de malafide Notepad++-update was gedownload plaatste die de Bitdefender Submission Wizard op het systeem voor de verdere infectie. Dit is een onderdeel van Bitdefender antivirus voor het uploaden van verdachte bestanden naar het antivirusbedrijf. De software bleek kwetsbaar voor dll-sideloading, Hierbij wordt kwaadaardige code in een dll-bestand geplaatst. Aanvallers plaatsen dit dll-bestand vaak in de directory van de bijbehorende executable. Wanneer de executable wordt uitgevoerd zal ook het kwaadaardige dll-bestand worden geladen.

Om niet te worden gedetecteerd hadden de aanvallers de Bitdefender Submission Wizard hernoemd naar "BluetoothService". Via het malafide dll-bestand dat de Bitdefender-software laadt wordt uiteindelijk de Chrysalis-backdoor geladen. De backdoor verzamelt vervolgens informatie over het besmette systeem en maakt verbinding met een command & control-server. Via de backdoor hebben aanvallers volledige controle over het besmette systeem en kunnen allerlei bestanden stelen, aanvullende malware installeren en de backdoor van het systeem verwijderen.

 

bron: https://www.security.nl