Quảng cáo độc hại nhắm mục tiêu người dùng Trung Quốc bằng trình cài đặt Notepad++ và VNote giả mạo
Quảng cáo độc hại nhắm mục tiêu người dùng Trung Quốc bằng trình cài đặt Notepad++ và VNote giả mạo
Người dùng Trung Quốc đang tìm kiếm phần mềm hợp pháp như Notepad++ và VNote trên các công cụ tìm kiếm như Baidu đang là mục tiêu của các quảng cáo độc hại và liên kết giả để phân phối các phiên bản phần mềm bị trojan hóa và cuối cùng là triển khai Geacon, một triển khai Cobalt Strike dựa trên Golang.
.png "Quảng cáo độc hại nhắm mục tiêu người dùng Trung Quốc bằng trình cài đặt Notepad++ và VNote giả mạo")
Nhà nghiên cứu của Kaspersky, Sergey Puzan cho biết: “Trang web độc hại được tìm thấy trong tìm kiếm notepad++ được phân phối thông qua một khối quảng cáo”.
"Mở nó ra, người dùng tinh ý sẽ nhận thấy ngay một sự mâu thuẫn thú vị: địa chỉ trang web chứa dòng vnote, tiêu đề cung cấp bản tải xuống của Notepad-- (một dạng tương tự của Notepad++, cũng được phân phối dưới dạng phần mềm nguồn mở), trong khi hình ảnh đầy kiêu hãnh hiển thị Notepad++. Trên thực tế, các gói được tải xuống từ đây đều chứa Notepad--."
Trang web có tên vnote.fuwenkeji[.]cn, chứa các liên kết tải xuống các phiên bản phần mềm Windows, Linux và macOS, với liên kết đến biến thể Windows trỏ đến kho Gitee chính thức chứa trình cài đặt Notepad-- ("Notepad- -v2.10.0-plugin-Installer.exe").
Mặt khác, các phiên bản Linux và macOS dẫn đến các gói cài đặt độc hại được lưu trữ trên vnote-1321786806.cos.ap-hongkong.myqcloud[.]com.
Trình cài đặt Notepad++ và VNote
Theo cách tương tự, các trang web trông giống nhau cho VNote ("vnote[.]info" và "vnotepad[.]com") dẫn đến cùng một tập hợp các liên kết myqcloud[.]com, trong trường hợp này, cũng trỏ đến trình cài đặt Windows được lưu trữ trên miền. Điều đó có nghĩa là các liên kết đến các phiên bản VNote có khả năng độc hại không còn hoạt động.
Một phân tích về các trình cài đặt Notepad-- đã được sửa đổi cho thấy rằng chúng được thiết kế để truy xuất tải trọng giai đoạn tiếp theo từ một máy chủ từ xa, một cửa hậu có những điểm tương đồng với Geacon.
An ninh mạng
Nó có khả năng tạo kết nối SSH, thực hiện các thao tác với tệp, liệt kê các quy trình, truy cập nội dung bảng tạm, thực thi tệp, tải lên và tải xuống tệp, chụp ảnh màn hình và thậm chí chuyển sang chế độ ngủ. Lệnh và kiểm soát (C2) được hỗ trợ bằng giao thức HTTPS.
Sự phát triển này diễn ra khi các chiến dịch quảng cáo độc hại cũng đóng vai trò là đường dẫn cho các phần mềm độc hại khác như phần mềm độc hại FakeBat (còn gọi là EugenLoader) với sự trợ giúp của các tệp trình cài đặt MSIX giả mạo Microsoft OneNote, Notion và Trello.
Hương – Theo TheHackerNews
Tin liên quan:
Các chuyên gia an ninh mạng vừa phát hiện một chiến dịch gián điệp di động quy mô lớn mang tên ZeroDayRAT. Bằng cách hoạt động theo mô hình "Mã độc...
Chi tiết
Các chuyên gia bảo mật vừa phát đi cảnh báo đỏ về một chiến dịch phát tán mã độc khổng lồ nhắm vào hệ điều hành Android. Tin tặc đang ngụy trang...
Chi tiết
Các chuyên gia an ninh mạng vừa phanh phui một kỹ thuật tấn công cực kỳ tinh vi mang tên "AI as a C2 Proxy" (Dùng AI làm máy chủ trung gian). Bằng...
Chi tiết