Quảng cáo độc hại nhắm mục tiêu người dùng Trung Quốc bằng trình cài đặt Notepad++ và VNote giả mạo

Quảng cáo độc hại nhắm mục tiêu người dùng Trung Quốc bằng trình cài đặt Notepad++ và VNote giả mạo

Người dùng Trung Quốc đang tìm kiếm phần mềm hợp pháp như Notepad++ và VNote trên các công cụ tìm kiếm như Baidu đang là mục tiêu của các quảng cáo độc hại và liên kết giả để phân phối các phiên bản phần mềm bị trojan hóa và cuối cùng là triển khai Geacon, một triển khai Cobalt Strike dựa trên Golang.

Quảng cáo độc hại nhắm mục tiêu người dùng Trung Quốc bằng trình cài đặt Notepad++ và VNote giả mạo

Nhà nghiên cứu của Kaspersky, Sergey Puzan cho biết: “Trang web độc hại được tìm thấy trong tìm kiếm notepad++ được phân phối thông qua một khối quảng cáo”.

"Mở nó ra, người dùng tinh ý sẽ nhận thấy ngay một sự mâu thuẫn thú vị: địa chỉ trang web chứa dòng vnote, tiêu đề cung cấp bản tải xuống của Notepad-- (một dạng tương tự của Notepad++, cũng được phân phối dưới dạng phần mềm nguồn mở), trong khi hình ảnh đầy kiêu hãnh hiển thị Notepad++. Trên thực tế, các gói được tải xuống từ đây đều chứa Notepad--."

Trang web có tên vnote.fuwenkeji[.]cn, chứa các liên kết tải xuống các phiên bản phần mềm Windows, Linux và macOS, với liên kết đến biến thể Windows trỏ đến kho Gitee chính thức chứa trình cài đặt Notepad-- ("Notepad- -v2.10.0-plugin-Installer.exe").

Mặt khác, các phiên bản Linux và macOS dẫn đến các gói cài đặt độc hại được lưu trữ trên vnote-1321786806.cos.ap-hongkong.myqcloud[.]com.

Trình cài đặt Notepad++ và VNote

Theo cách tương tự, các trang web trông giống nhau cho VNote ("vnote[.]info" và "vnotepad[.]com") dẫn đến cùng một tập hợp các liên kết myqcloud[.]com, trong trường hợp này, cũng trỏ đến trình cài đặt Windows được lưu trữ trên miền. Điều đó có nghĩa là các liên kết đến các phiên bản VNote có khả năng độc hại không còn hoạt động.

Một phân tích về các trình cài đặt Notepad-- đã được sửa đổi cho thấy rằng chúng được thiết kế để truy xuất tải trọng giai đoạn tiếp theo từ một máy chủ từ xa, một cửa hậu có những điểm tương đồng với Geacon.

An ninh mạng

Nó có khả năng tạo kết nối SSH, thực hiện các thao tác với tệp, liệt kê các quy trình, truy cập nội dung bảng tạm, thực thi tệp, tải lên và tải xuống tệp, chụp ảnh màn hình và thậm chí chuyển sang chế độ ngủ. Lệnh và kiểm soát (C2) được hỗ trợ bằng giao thức HTTPS.

Sự phát triển này diễn ra khi các chiến dịch quảng cáo độc hại cũng đóng vai trò là đường dẫn cho các phần mềm độc hại khác như phần mềm độc hại FakeBat (còn gọi là EugenLoader) với sự trợ giúp của các tệp trình cài đặt MSIX giả mạo Microsoft OneNote, Notion và Trello.

Hương – Theo TheHackerNews

Tin liên quan:

Standard Post with Image

Thông báo thời gian nghỉ lễ Giỗ Tổ Hùng Vương 2024

NTS Group xin thông báo đến Quý khách hàng thời gian nghỉ lễ Giỗ Tổ Hùng Vương ngày Thứ Năm 18/04/2024 theo hướng dẫn của Chính Phủ ban hành. Chúng...

Chi tiết
Standard Post with Image

Năm công nghệ của Kaspersky để bảo vệ tài chính cá nhân của bạn

Tài chính kỹ thuật số của chúng ta dễ bị tấn công bởi tội phạm kỹ thuật số. Hãy cùng xem xét cách các công nghệ và sản phẩm của Kaspersky bảo vệ tiền...

Chi tiết
Standard Post with Image

Giải pháp bảo mật của Kaspersky giành được số lượng giải thưởng kỷ lục trong các cuộc thử nghiệm độc lập

Vào năm 2023, các sản phẩm và giải pháp của Kaspersky đã tham gia chính xác 100 nghiên cứu độc lập — giành chiến thắng 93 lần: năm thành công nhất từ...

Chi tiết