Quảng cáo độc hại nhắm mục tiêu người dùng Trung Quốc bằng trình cài đặt Notepad++ và VNote giả mạo
Người dùng Trung Quốc đang tìm kiếm phần mềm hợp pháp như Notepad++ và VNote trên các công cụ tìm kiếm như Baidu đang là mục tiêu của các quảng cáo độc hại và liên kết giả để phân phối các phiên bản phần mềm bị trojan hóa và cuối cùng là triển khai Geacon, một triển khai Cobalt Strike dựa trên Golang.
Nhà nghiên cứu của Kaspersky, Sergey Puzan cho biết: “Trang web độc hại được tìm thấy trong tìm kiếm notepad++ được phân phối thông qua một khối quảng cáo”.
"Mở nó ra, người dùng tinh ý sẽ nhận thấy ngay một sự mâu thuẫn thú vị: địa chỉ trang web chứa dòng vnote, tiêu đề cung cấp bản tải xuống của Notepad-- (một dạng tương tự của Notepad++, cũng được phân phối dưới dạng phần mềm nguồn mở), trong khi hình ảnh đầy kiêu hãnh hiển thị Notepad++. Trên thực tế, các gói được tải xuống từ đây đều chứa Notepad--."
Trang web có tên vnote.fuwenkeji[.]cn, chứa các liên kết tải xuống các phiên bản phần mềm Windows, Linux và macOS, với liên kết đến biến thể Windows trỏ đến kho Gitee chính thức chứa trình cài đặt Notepad-- ("Notepad- -v2.10.0-plugin-Installer.exe").
Mặt khác, các phiên bản Linux và macOS dẫn đến các gói cài đặt độc hại được lưu trữ trên vnote-1321786806.cos.ap-hongkong.myqcloud[.]com.
Trình cài đặt Notepad++ và VNote
Theo cách tương tự, các trang web trông giống nhau cho VNote ("vnote[.]info" và "vnotepad[.]com") dẫn đến cùng một tập hợp các liên kết myqcloud[.]com, trong trường hợp này, cũng trỏ đến trình cài đặt Windows được lưu trữ trên miền. Điều đó có nghĩa là các liên kết đến các phiên bản VNote có khả năng độc hại không còn hoạt động.
Một phân tích về các trình cài đặt Notepad-- đã được sửa đổi cho thấy rằng chúng được thiết kế để truy xuất tải trọng giai đoạn tiếp theo từ một máy chủ từ xa, một cửa hậu có những điểm tương đồng với Geacon.
An ninh mạng
Nó có khả năng tạo kết nối SSH, thực hiện các thao tác với tệp, liệt kê các quy trình, truy cập nội dung bảng tạm, thực thi tệp, tải lên và tải xuống tệp, chụp ảnh màn hình và thậm chí chuyển sang chế độ ngủ. Lệnh và kiểm soát (C2) được hỗ trợ bằng giao thức HTTPS.
Sự phát triển này diễn ra khi các chiến dịch quảng cáo độc hại cũng đóng vai trò là đường dẫn cho các phần mềm độc hại khác như phần mềm độc hại FakeBat (còn gọi là EugenLoader) với sự trợ giúp của các tệp trình cài đặt MSIX giả mạo Microsoft OneNote, Notion và Trello.
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tê...
Cuộc tấn công Microsoft 365 mới có thể p...
Người dùng chưa đủ 18 tuổi sẽ không được...
Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào ...
Kỹ thuật hack này có thể cách ly may tín...
Tính năng Email được bảo vệ mới của Gmai...
- BLACK FRIDAY khuyến mãi cực sốc – Bảo vệ máy tính ...
- Chương trình Khuyến mãi “Vòng quay may mắn” 2024
- Các mối đe dọa an ninh mạng tại Việt Nam gia tăng ...
- Hướng dẫn cài đặt và kích hoạt Kaspersky For Iphon...
- Các cuộc tấn công ransomware tiếp tục nhắm vào nhi...
- Top 8 phần mềm chatbot AI miễn phí phổ biến hiện n...