在百度等搜索引擎上寻找正版软件(如Notepad++和VNote)的中国用户正成为恶意广告和虚假链接的目标,这些恶意广告和虚假链接分发了这些软件的木马版本,并最终部署了Geacon木马(一款基于golang的Cobalt Strike实现)。
“在notepad++搜索中发现的恶意网站是通过广告进行传播的。”卡巴斯基研究员谢尔盖·普赞(Sergey Puzan)表示。
“打开它,细心的用户会立即注意到一个有趣的不一致之处:网站地址包含一行vnote,标题提供了Notepad‐‐的下载(类似于Notepad++,也作为开源软件分发),而图像则自豪地显示Notepad++。事实上,从这里下载的软件包包含Notepad‐‐。”
该网站域名为vnote.fuwenkeji[.]cn,包含该软件的Windows, Linux和macOS版本软件的下载链接,其中 Windows 版本的链接指向包含Notepad-- 安装程序的官方Gitee存储库(“Notepad- -v2.10.0-plugin-Installer.exe”)。
另一方面,Linux和macOS版本会导致恶意安装托管在 vnote-1321786806.cos.ap-hongkong.myqcloud[.]com 上的恶意安装包。
以类似的方式,VNote的仿冒网站("VNote[.] info"和"vnotepad[.]com")会导致相同的myqcloud[.]com链接,在本例中,也指向域上托管的Windows安装程序。也就是说,指向VNote潜在恶意版本的链接不再有效。
对修改后的Notepad安装程序的分析表明,它们旨在从远程服务器检索下一阶段的有效载荷,这是一个与Geacon相似的后门程序。
它能够创建SSH连接、执行文件操作、枚举进程、访问剪贴板内容、执行文件、上传和下载文件、截取屏幕截图,甚至进入睡眠模式。命令与控制(C2)是通过HTTPS协议实现的。
与此同时,恶意广告活动还借助伪装成 Microsoft OneNote、Notion和Trello的MSIX安装程序文件,充当了其他恶意软件的传播渠道,例如FakeBat(又名EugenLoader)恶意软件。