最近的研究发现,通过百度等搜索引擎搜索 Notepad++ 和 VNote 等官方版本程序的中国用户越来越多地中招。
这些攻击是利用搜索引擎上的欺诈性广告以及分发这些程序的木马版本的虚假链接来进行的。最终目标是安装 Geacon,Cobalt Strike 的 Golang 实现。
广告导致虚假网站
卡巴斯基实验室的专家 发现 Notepad++ 搜索结果中出现了一个欺诈网站。该网站值得注意的是,其地址中提到了 VNote,并且该网站上提供的下载程序使用了 Notepad++ 徽标。
但更进一步,更有趣的是:下载的软件包已经包含“Notepad–”,但这并不是网络犯罪分子的发明,因为这是一个 完全现有的 合法文本编辑器,它几乎是 Notepad++ 的完整副本。
诈骗网站上有趣的不一致之处
尽管可以在恶意网站上下载该程序的三个版本(适用于 Windows、Linux 和 macOS),但出于某种原因,Windows 的链接会指向带有合法记事本安装程序的官方 Gitee 存储库。同时,Linux和macOS版本导致第三方资源上存在恶意安装包。
第二个假页面是通过在百度搜索引擎中查询“vnote”找到的,而该页面又试图模仿VNote程序的官方网站,完全复制其风格。当然,该页面上也存在恶意软件。
对特洛伊木马安装程序的研究表明,它们旨在从远程服务器下载额外的恶意代码。该代码能够创建 SSH 连接、执行文件操作、枚举进程、访问剪贴板内容、启动程序、下载和上传文件、截屏,甚至休眠。通过HTTPS协议进行管理。
此处讨论的示例只是通过广告活动分发恶意软件的更大操作的一部分,这些广告活动以前曾用于使用伪装成 Microsoft OneNote、Notion 和 Trello 应用程序的 MSIX 安装文件来传播 FakeBat(也称为 EugenLoader)等病毒。
卡巴斯基实验室专家打算继续调查这一恶意活动,以确定攻击的其他阶段并防止恶意软件在用户之间传播。
建议用户在从互联网下载软件时要格外小心,并留意提供流行软件的网站上的任何可疑细节(从地址不一致到可疑设计或明显错误)。
发表评论
您还未登录,请先登录。
登录