Търсене
Close this search box.

Злонамерени реклами с фалшиви инсталатори на Notepad++ и VNote

Китайските потребители, които търсят легитимен софтуер като Notepad++ и VNote в търсачки като Baidu, са подложени на атаки със злонамерени реклами и фалшиви връзки, за да разпространят троянски версии на софтуера и в крайна сметка да внедрят Geacon – базирана на Golang реализация на Cobalt Strike.

„Злонамереният сайт, открит в търсенето на Notepad++, се разпространява чрез рекламен блок“, каза изследователят на Kaspersky Сергей Пузан.

„Отваряйки го, внимателният потребител веднага ще забележи забавно несъответствие: адресът на сайта съдържа реда vnote, заглавието предлага изтегляне на Notepad– (аналог на Notepad++, също разпространяван като софтуер с отворен код), докато изображението гордо показва Notepad++. Всъщност пакетите, изтеглени оттук, съдържат Notepad–.“

Уебсайтът, наречен vnote.fuwenkeji[.]cn, съдържа връзки за изтегляне на версии на софтуера за Windows, Linux и macOS, като връзката към варианта за Windows сочи към официалното хранилище Gitee, съдържащо инсталатора на Notepad– („Notepad–v2.10.0-plugin-Installer.exe“).

Версиите за Linux и macOS, от друга страна, водят до зловредни инсталационни пакети, хоствани на адрес vnote-1321786806.cos.ap-hongkong.myqcloud[.]com.

Notepad++ and VNote Installers

По подобен начин фалшивите уебсайтове-близнаци за VNote („vnote[.]info“ и „vnotepad[.]com“) водят до същия набор от връзки myqcloud[.]com, като в този случай те сочат и към инсталатора на Windows, хостван в домейна. При това връзките към потенциално зловредните версии на VNote вече не са активни.

Анализът на модифицираните инсталатори на Notepad– разкрива, че те са предназначени за извличане на следващ етап на полезен товар от отдалечен сървър – задна врата, която показва сходства с Geacon.

Той е способен да създава SSH връзки, да извършва операции с файлове, да изброява процеси, да получава достъп до съдържанието на клипборда, да изпълнява файлове, да качва и сваля файлове, да прави снимки на екрана и дори да преминава в режим на заспиване. Командването и контролът (C2) се улесняват с помощта на протокола HTTPS.

Разработката идва в момент, когато кампаниите за злонамерена реклама са действали като канал за други зловредни програми, като например зловредния софтуер FakeBat (известен още като EugenLoader), с помощта на инсталационни файлове MSIX, маскирани като Microsoft OneNote, Notion и Trello.

 

 

Източник: The Hacker News

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
12 април 2024

Глобиха AWS с над 1 млрд. лева

Съдебните заседатели установиха, че AWS е нарушила правата на собст...
12 април 2024

Magecart са пионери в областта на устойчивата з...

Печално известната киберпрестъпна организация, занимаваща се със ск...
11 април 2024

CISA нарежда на агенциите, засегнати от хакерск...

CISA издаде нова спешна директива, с която нарежда на федералните а...
Бъдете социални
Още по темата
13/04/2024

Latrodectus продължава там,...

Брокерите за първоначален достъп използват новия...
10/04/2024

Защо е толкова важно да укр...

Доставчиците на управлявани услуги (MSP) са...
09/04/2024

Виетнамската група за кибер...

Новопоявила се група за киберпрестъпления, свързана...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!