在百度等搜索引擎上寻找正版软件(如notepad++和VNote)的中国用户正成为恶意广告和虚假链接的目标,这些恶意广告和虚假链
在百度等搜索引擎上寻找正版软件(如notepad++和VNote)的中国用户正成为恶意广告和虚假链接的目标,这些恶意广告和虚假链接分发了这些软件的木马版本,并最终部署了Geacon,这是一款基于golang的Cobalt Strike软件。
“在notepad++搜索中发现的恶意网站是通过广告块传播的,”卡巴斯基研究员谢尔盖·普赞说。
打开它,细心的用户会立即注意到一个有趣的不一致:网站地址包含一行vnote,标题提供了Notepad‐‐的下载(类似于notepad++,也作为开源软件分发),而图像自豪地显示notepad++。事实上,从这里下载的软件包包含Notepad‐‐。”
该网站名为vnote.fuwenkeji[.]cn,包含Windows, Linux和macOS版本软件的下载链接,Windows版本的链接指向包含Notepadinstaller(“Notepadv2.10.0-plugin-Installer.exe”)的官方Gitee存储库。
另一方面,Linux和macOS版本会导致恶意安装包驻留在vnote- 1321786806.coss.ap-hongkong.myqcloud [.]com上。
以类似的方式,仿冒的VNote网站。("VNote[.] info"和"vnotepad[.]com")会导致相同的myqcloud[.]com链接,在这种情况下,也指向托管在域上的Windows安装程序。也就是说,指向VNote潜在恶意版本的链接已不再活跃。
对修改后的Notepad安装程序的分析表明,它们旨在从远程服务器检索下一阶段的有效载荷,这是一个与Geacon相似的后门程序。
它能够创建SSH连接、执行文件操作、枚举进程、访问剪贴板内容、执行文件、上传和下载文件、截取屏幕截图,甚至进入睡眠模式。命令与控制(C2)是通过HTTPS协议实现的。
随着恶意广告活动也成为其他恶意软件的渠道,如FakeBat(又名EugenLoader)恶意软件借助MSIX安装文件伪装成微软OneNote, Notion和Trello。
标签: #Geacon木马 #恶意网站 #VNote #Notepad
频道: @GodlyNews1
投稿: @GodlyNewsBot
