Quảng cáo độc hại nhắm mục tiêu người dùng Trung Quốc bằng trình cài đặt Notepad++ và VNote giả mạo
Quảng cáo độc hại nhắm mục tiêu người dùng Trung Quốc bằng trình cài đặt Notepad++ và VNote giả mạo
Người dùng Trung Quốc đang tìm kiếm phần mềm hợp pháp như Notepad++ và VNote trên các công cụ tìm kiếm như Baidu đang là mục tiêu của các quảng cáo độc hại và liên kết giả để phân phối các phiên bản phần mềm bị trojan hóa và cuối cùng là triển khai Geacon, một triển khai Cobalt Strike dựa trên Golang.
Nhà nghiên cứu của Kaspersky, Sergey Puzan cho biết: “Trang web độc hại được tìm thấy trong tìm kiếm notepad++ được phân phối thông qua một khối quảng cáo”.
"Mở nó ra, người dùng tinh ý sẽ nhận thấy ngay một sự mâu thuẫn thú vị: địa chỉ trang web chứa dòng vnote, tiêu đề cung cấp bản tải xuống của Notepad-- (một dạng tương tự của Notepad++, cũng được phân phối dưới dạng phần mềm nguồn mở), trong khi hình ảnh đầy kiêu hãnh hiển thị Notepad++. Trên thực tế, các gói được tải xuống từ đây đều chứa Notepad--."
Trang web có tên vnote.fuwenkeji[.]cn, chứa các liên kết tải xuống các phiên bản phần mềm Windows, Linux và macOS, với liên kết đến biến thể Windows trỏ đến kho Gitee chính thức chứa trình cài đặt Notepad-- ("Notepad- -v2.10.0-plugin-Installer.exe").
Mặt khác, các phiên bản Linux và macOS dẫn đến các gói cài đặt độc hại được lưu trữ trên vnote-1321786806.cos.ap-hongkong.myqcloud[.]com.
Trình cài đặt Notepad++ và VNote
Theo cách tương tự, các trang web trông giống nhau cho VNote ("vnote[.]info" và "vnotepad[.]com") dẫn đến cùng một tập hợp các liên kết myqcloud[.]com, trong trường hợp này, cũng trỏ đến trình cài đặt Windows được lưu trữ trên miền. Điều đó có nghĩa là các liên kết đến các phiên bản VNote có khả năng độc hại không còn hoạt động.
Một phân tích về các trình cài đặt Notepad-- đã được sửa đổi cho thấy rằng chúng được thiết kế để truy xuất tải trọng giai đoạn tiếp theo từ một máy chủ từ xa, một cửa hậu có những điểm tương đồng với Geacon.
An ninh mạng
Nó có khả năng tạo kết nối SSH, thực hiện các thao tác với tệp, liệt kê các quy trình, truy cập nội dung bảng tạm, thực thi tệp, tải lên và tải xuống tệp, chụp ảnh màn hình và thậm chí chuyển sang chế độ ngủ. Lệnh và kiểm soát (C2) được hỗ trợ bằng giao thức HTTPS.
Sự phát triển này diễn ra khi các chiến dịch quảng cáo độc hại cũng đóng vai trò là đường dẫn cho các phần mềm độc hại khác như phần mềm độc hại FakeBat (còn gọi là EugenLoader) với sự trợ giúp của các tệp trình cài đặt MSIX giả mạo Microsoft OneNote, Notion và Trello.
Hương – Theo TheHackerNews
Tin liên quan:
Chiến dịch quảng cáo độc hại chiếm đoạt tài khoản Facebook để phát tán phần mềm độc hại SYS01stealer
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại đang diễn ra, lợi dụng nền tảng quảng cáo của Meta và chiếm đoạt tài...
Chi tiếtHơn sáu năm sau khi lỗ hổng bảo mật Spectre ảnh hưởng đến bộ xử lý CPU hiện đại được phát hiện, một nghiên cứu mới đã phát hiện ra rằng các bộ xử lý...
Chi tiếtTại Hội nghị thượng đỉnh phân tích bảo mật (SAS) 2024, Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) tiết lộ một phát hiện đáng chú ý:...
Chi tiết