Usuários chineses que procuram por softwares legítimos, como Notepad++ e VNote em motores de busca como o Baidu, estão sendo alvo de anúncios maliciosos e links falsos para distribuir versões troianizadas do software e, finalmente, implantar o Geacon, uma implementação baseada em Golang do Cobalt Strike.
"O site malicioso encontrado na busca por notepad++ é distribuído por meio de um bloco de anúncios", disse o pesquisador da Kaspersky, Sergey Puzan.
"Ao abri-lo, um usuário atento perceberia imediatamente uma inconsistência divertida: o endereço do site contém a linha vnote, o título oferece um download do Notepad- (um análogo do Notepad++, também distribuído como software de código aberto), enquanto a imagem mostra orgulhosamente o Notepad++.
Na verdade, os pacotes baixados daqui contêm o Notepad--."
O site, chamado vnote.fuwenkeji[.]cn, contém links para download das versões Windows, Linux e macOS do software, com o link para a variante Windows apontando para o repositório oficial Gitee contendo o instalador do Notepad-- ("Notepad--v2.10.0-plugin-Installer.exe").
As versões para Linux e macOS, por outro lado, levam a pacotes de instalação maliciosos hospedados em vnote-1321786806.cos.ap-hongkong.myqcloud[.]com.
Da mesma forma, os sites falsos parecidos com o VNote ("vnote[.]info" e "vnotepad[.]com") levam ao mesmo conjunto de links myqcloud[.]com, neste caso, também apontando para um instalador Windows hospedado no domínio.
Dito isto, os links para as versões potencialmente maliciosas de VNote não estão mais ativos.
Uma análise dos instaladores modificados do Notepad-- revela que eles são projetados para recuperar uma payload da próxima etapa de um servidor remoto, um backdoor que apresenta semelhanças com o Geacon.
É capaz de criar conexões SSH, realizar operações de arquivo, enumerar processos, acessar o conteúdo da área de transferência, executar arquivos, fazer upload e download de arquivos, tirar screenshots e até entrar no modo de suspensão.
O comando e controle (C2) é facilitado pelo protocolo HTTPS.
O desenvolvimento ocorre à medida que campanhas de malvertising também agem como um conduto para outros malwares, como o malware FakeBat (também conhecido como EugenLoader) com a ajuda de arquivos instaladores MSIX se passando por Microsoft OneNote, Notion e Trello.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...