在百度等搜索引擎上寻找 Notepad++ 和 VNote 等合法软件的中国用户正成为恶意广告和虚假链接的目标,这些链接会分发该软件的木马版本,并最终部署Geacon(一种基于 Golang 的 Cobalt Strike 实现)。
虚假广告网站
卡巴斯基实验室的专家发现 Notepad++ 搜索结果中出现了一个欺诈网站,该网站地址中提到了 VNote,并且该网站上提供的下载程序使用了 Notepad++ 徽标。
虚假网站
但更有趣的是:下载的软件包已经包含“Notepad–”,但这并不是网络犯罪分子的发明,因为这是一个 完全现有的合法文本编辑器,它几乎是 Notepad++ 的完整副本。
尽管可以在恶意网站上下载该程序的三个版本(适用于 Windows、Linux 和 macOS),但出于某种原因,Windows 的链接会指向带有合法记事本安装程序的官方 Gitee 存储库。同时,Linux和macOS版本导致第三方资源上存在恶意安装包。
第二个假页面是通过在百度搜索引擎中查询“vnote”找到的,而该页面又试图模仿VNote程序的官方网站,完全复制其风格,当然,该页面上也存在恶意软件。
对特洛伊木马安装程序的研究表明,它们旨在从远程服务器下载额外的恶意代码。该代码能够创建 SSH 连接、执行文件操作、枚举进程、访问剪贴板内容、启动程序、下载和上传文件、截屏,甚至休眠。
此处讨论的示例只是通过广告活动分发恶意软件的更大操作的一部分,这些广告活动以前曾用于使用伪装成 Microsoft OneNote、Notion 和 Trello 应用程序的 MSIX 安装文件来传播 FakeBat(也称为 EugenLoader)等病毒。
卡巴斯基实验室专家打算继续调查这一恶意活动,以确定攻击的其他阶段并防止恶意软件在用户之间传播。
建议用户在从互联网下载软件时要格外小心,并留意提供流行软件的网站上的任何可疑细节(从地址不一致到可疑设计或明显错误)。
【免费领】网络安全专业入门与进阶学习资料,轻松掌握网络安全技能!