Quảng cáo độc hại nhắm mục tiêu người dùng Trung Quốc bằng trình cài đặt Notepad++ và VNote giả mạo

www.tuoitre.vn -   14/03/2024 08:00:00 174

Người dùng Trung Quốc đang tìm kiếm phần mềm hợp pháp như Notepad++ và VNote trên các công cụ tìm kiếm như Baidu đang là mục tiêu của các quảng cáo độc hại và liên kết giả để phân phối các phiên bản phần mềm bị trojan hóa và cuối cùng là triển khai Geacon, một triển khai Cobalt Strike dựa trên Golang.

Quảng cáo độc hại nhắm mục tiêu người dùng Trung Quốc bằng trình cài đặt Notepad++ và VNote giả mạo

Nhà nghiên cứu của Kaspersky, Sergey Puzan cho biết: “Trang web độc hại được tìm thấy trong tìm kiếm notepad++ được phân phối thông qua một khối quảng cáo”.

"Mở nó ra, người dùng tinh ý sẽ nhận thấy ngay một sự mâu thuẫn thú vị: địa chỉ trang web chứa dòng vnote, tiêu đề cung cấp bản tải xuống của Notepad-- (một dạng tương tự của Notepad++, cũng được phân phối dưới dạng phần mềm nguồn mở), trong khi hình ảnh đầy kiêu hãnh hiển thị Notepad++. Trên thực tế, các gói được tải xuống từ đây đều chứa Notepad--."

Trang web có tên vnote.fuwenkeji[.]cn, chứa các liên kết tải xuống các phiên bản phần mềm Windows, Linux và macOS, với liên kết đến biến thể Windows trỏ đến kho Gitee chính thức chứa trình cài đặt Notepad-- ("Notepad- -v2.10.0-plugin-Installer.exe").

Mặt khác, các phiên bản Linux và macOS dẫn đến các gói cài đặt độc hại được lưu trữ trên vnote-1321786806.cos.ap-hongkong.myqcloud[.]com.

Trình cài đặt Notepad++ và VNote

Theo cách tương tự, các trang web trông giống nhau cho VNote ("vnote[.]info" và "vnotepad[.]com") dẫn đến cùng một tập hợp các liên kết myqcloud[.]com, trong trường hợp này, cũng trỏ đến trình cài đặt Windows được lưu trữ trên miền. Điều đó có nghĩa là các liên kết đến các phiên bản VNote có khả năng độc hại không còn hoạt động.

Một phân tích về các trình cài đặt Notepad-- đã được sửa đổi cho thấy rằng chúng được thiết kế để truy xuất tải trọng giai đoạn tiếp theo từ một máy chủ từ xa, một cửa hậu có những điểm tương đồng với Geacon.

An ninh mạng

Nó có khả năng tạo kết nối SSH, thực hiện các thao tác với tệp, liệt kê các quy trình, truy cập nội dung bảng tạm, thực thi tệp, tải lên và tải xuống tệp, chụp ảnh màn hình và thậm chí chuyển sang chế độ ngủ. Lệnh và kiểm soát (C2) được hỗ trợ bằng giao thức HTTPS.

Sự phát triển này diễn ra khi các chiến dịch quảng cáo độc hại cũng đóng vai trò là đường dẫn cho các phần mềm độc hại khác như phần mềm độc hại FakeBat (còn gọi là EugenLoader) với sự trợ giúp của các tệp trình cài đặt MSIX giả mạo Microsoft OneNote, Notion và Trello.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Đọc nhanh tài liệu Word với tính năng AI...

30/08/2024 12:00:00 83
Một tính năng mới rất hữu ích dành cho người dùng Word, cho phép xử lý các tài liệu dài dễ dàng hơn ...

Google tung bản vá bảo mật khẩn cấp cho ...

29/08/2024 12:00:00 69
Hãykiểm tra xem trình duyệt của mình đã tự động cập nhật lên phiên bản mới nhất chưa bằng cách mở cà...

Phần mềm độc hại Android mới NGate đánh ...

28/08/2024 08:00:00 71
Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ l...

Thời đại AI lên ngôi, ảnh chụp không hẳn...

28/08/2024 12:00:00 80
Với sự xuất hiện của AI, bất kỳ ai cũng có thể tạo ảnh giả với độ chân thực không kém chuyên gia pho...

Trung tâm siêu dữ liệu đang được Google ...

27/08/2024 12:00:00 48
Lý do khiến Google có thể lựa chọn xây trung tâm dữ liệu tại Việt Nam đến từ việc hãng kiếm được ngà...

Google cảnh báo về lỗ hổng bảo mật CVE-2...

26/08/2024 08:00:00 33
Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tu...
Xem thêm

LIÊN HỆ

Thông tin liên hệ