Hack Alerta

Proxyware disfarçado de Notepad++ explora explorer.exe para proxyjacking

Por Redação Hack Alerta Publicado em 22/01/2026 16:02 Cyber ataques Tempo de leitura: 3 min

Pesquisadores da ASEC identificaram uma campanha do grupo Larva‑25012 que distribui proxyware disfarçado de instaladores do Notepad++. Entregues via MSI ou ZIP, os pacotes usam DLL side‑loading, injeção em processos do Windows e persistência via Task Scheduler para executar módulos como Infatica e DigitalPulse — monetizando largura de banda das máquinas comprometidas.

Introdução: Pesquisadores da ASEC identificaram uma campanha que distribui proxyware disfarçado como instaladores do Notepad++; o malware usa técnicas de DLL side‑loading e injeção em processos do Windows para manter persistência.

Descoberta e técnica de distribuição

Analistas relataram que o grupo rastreado como Larva‑25012 tem veiculado instaladores falsos de Notepad++ em sites que imitam portais de download para software pirata. Os pacotes maliciosos, hospedados em repositórios GitHub falsos, vêm em variantes Setup.msi e Setup.zip que combinam componentes legítimos do Notepad++ com bibliotecas DLL maliciosas.

Vetor e persistência

A variante MSI instala uma DLL escrita em C++ que cria uma tarefa no Windows Task Scheduler nomeada “Notepad Update Scheduler” e é executada via rundll32.exe. A variante ZIP traz um loader chamado TextShaping.dll que explora DLL side‑loading para executar código malicioso em memória. Ambas as variantes criam mecanismos de persistência no Task Scheduler e registram agentes de inicialização adicionais.

Payloads e comportamento

  • Os operadores instalam componentes de proxyware como Infatica e DigitalPulse, que permitem monetizar a largura de banda das máquinas comprometidas (técnica conhecida como proxyjacking).
  • O malware utiliza injeção de shellcode em processos legítimos — incluindo AggregatorHost.exe e, no estágio final, explorer.exe — para executar cargas utilitárias e módulos em Go obfuscados.
  • As rotinas de instalação podem acionar instaladores de NodeJS ou Python para executar loaders em JavaScript ou Python (DPLoader), além de criar lançadores VBS e alterar políticas do Windows Defender para excluir caminhos e desabilitar notificações.

Evidências e limites

O relatório da ASEC, citado pela matéria, documenta amostras, entradas do Task Scheduler e a cadeia de execução observada em análises dinâmicas. A cobertura indica que a campanha teve maior incidência na Coreia do Sul, mas não fornece uma contagem pública de sistemas afetados nem indicadores de comprometimento completos no texto disponível.

Mitigações e recomendações

Com base nos artefatos descritos, medidas imediatas são:

  • Evitar downloads de software de fontes não oficiais; preferir repositórios do fornecedor.
  • Verificar entradas suspeitas no Task Scheduler e procurar DLLs com nomes inconsistentes em diretórios de aplicações.
  • Monitorar processos como rundll32.exe, AggregatorHost.exe e explorer.exe para comportamentos de injeção ou persistência inesperados.
  • Restaurar políticas recomendadas do Windows Defender e bloquear instalações não autorizadas de NodeJS/Python em hosts críticos.

O relatório original mencionado pela matéria é assinado pela ASEC e a cobertura foi publicada pelo Cyber Security News; não há, na peça consultada, estimativas de impacto global ou declarações de vítimas corporativas específicas.

Baseado em publicação original de Cyber Security News
Tags: #proxyware #notepadplusplus #dll-sideloading #proxyjacking #windows #malware #infatica #digitalpulse #asec
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar