井底圈小蛙
关注科技圈

百度等搜索引擎上的恶意广告引导用户下载虚假的notepad++和VNote,大量用户感染Geacon木马

在百度等搜索引擎上寻找正版软件(如Notepad++VNote)的中国用户正成为恶意广告和虚假链接的目标,这些恶意广告和虚假链接分发了这些软件的木马版本,并最终部署了Geacon木马(一款基于golang的Cobalt Strike实现)。

“在notepad++搜索中发现的恶意网站是通过广告进行传播的。”卡巴斯基研究员谢尔盖·普赞(Sergey Puzan)表示

“打开它,细心的用户会立即注意到一个有趣的不一致之处:网站地址包含一行vnote,标题提供了Notepad‐‐的下载(类似于Notepad++,也作为开源软件分发),而图像则自豪地显示Notepad++。事实上,从这里下载的软件包包含Notepad‐‐。”

该网站域名为vnote.fuwenkeji[.]cn,包含该软件的Windows, Linux和macOS版本软件的下载链接,其中 Windows 版本的链接指向包含Notepad-- 安装程序的官方Gitee存储库(“Notepad- -v2.10.0-plugin-Installer.exe”)。

另一方面,Linux和macOS版本会导致恶意安装托管在 vnote-1321786806.cos.ap-hongkong.myqcloud[.]com 上的恶意安装包。

以类似的方式,VNote的仿冒网站("VNote[.] info"和"vnotepad[.]com")会导致相同的myqcloud[.]com链接,在本例中,也指向域上托管的Windows安装程序。也就是说,指向VNote潜在恶意版本的链接不再有效。

对修改后的Notepad安装程序的分析表明,它们旨在从远程服务器检索下一阶段的有效载荷,这是一个与Geacon相似的后门程序。

它能够创建SSH连接、执行文件操作、枚举进程、访问剪贴板内容、执行文件、上传和下载文件、截取屏幕截图,甚至进入睡眠模式。命令与控制(C2)是通过HTTPS协议实现的。

与此同时,恶意广告活动还借助伪装成 Microsoft OneNote、Notion和Trello的MSIX安装程序文件,充当了其他恶意软件的传播渠道,例如FakeBat(又名EugenLoader)恶意软件

圈小蛙现已开通Telegram。单击此处加入我们的频道 (@quanxiaowa)并随时了解最新科技圈动态!

除特别注明外,本站所有文章均系根据各大境内外消息渠道原创,转载请注明出处。
文章名称:《百度等搜索引擎上的恶意广告引导用户下载虚假的notepad++和VNote,大量用户感染Geacon木马》
文章链接:https://www.qxwa.com/malicious-ads-on-baidu-and-other-search-engines-guide-users-to-download-fake-notepad-and-vnote-and-a-large-number-of-users-are-infected-with-geacon-trojan-horse.html
分享到: 生成海报

评论 抢沙发

科技圈动态,尽在圈小蛙

联系我们关注我们