Aviso de seguridad

Nivel de peligrosidad: Crítico

Descripción

En NotePad++, mediante “certificate.pem”, el malware sobrescribe el código dentro del complemento"BingMaps.dll", e inyecta un hilo en "explorer.exe", para conectar con un servidor de comando y control (C2), que se hace pasar  por una página de inicio de sesión de WordPress. Es desde aquí que se entrega la carga útil final del malware que garantiza la persistencia y hace más difícil de detectar.

En Putty a través de mensajes firmados (58) y la clave publica, permiten al atacante recuperar la clave privada, de esta manera falsificar firmas para iniciar sesión en cualquier servidor que el usuario comprometido utilice.

Recursos afectados

En:

    • NotePad++ (version 6.2.3 - 8.6.4)

En:
    • PuTTY (version 0.68 - 0.80)
    • FileZilla (version 3.24.1 - 3.67.0)
    • WinSCP (version 5.9.5 - 6.3.3)
    • TortoiseGit (version 2.4.0.2 - 2.15.0.1)
    • TortoiseSVN (version 1.10.0 - 1.14.6)

Solución

Instalar la versión que corrige la vulnerabilidad Note Pad++ v8.6.5.y la ultima versión de Putty 0.81

Recomendaciones

Monitorear comportamientos inesperados en su sistema, incluso con software conocido.

Referencias

https://securityonline.info
https://securityonline.info