Os usuários chineses que procuram software program legítimo, como Notepad++ e VNote, em mecanismos de busca como o Baidu, estão sendo alvo de anúncios maliciosos e hyperlinks falsos para distribuir versões trojanizadas do software program e, em última instância, implantar o Geacon, uma implementação do Cobalt Strike baseada em Golang.
“O website malicioso encontrado na pesquisa do notepad++ é distribuído através de um bloco de anúncios”, disse o pesquisador da Kaspersky, Sergey Puzan.
“Ao abri-lo, um usuário atento notará imediatamente uma divertida inconsistência: o endereço do website contém a linha vnote, o título oferece um obtain do Notepad‐‐ (um análogo do Notepad++, também distribuído como software program de código aberto), enquanto a imagem orgulhosamente mostra o Notepad++. Na verdade, os pacotes baixados daqui contêm o Notepad-‐.”
O website, denominado vnote.fuwenkeji(.)cn, contém hyperlinks de obtain para versões do software program para Home windows, Linux e macOS, com o hyperlink para a variante do Home windows apontando para o repositório oficial do Gitee contendo o instalador do Notepad– (“Notepad- -v2.10.0-plugin-Installer.exe”).
As versões Linux e macOS, por outro lado, levam a pacotes de instalação maliciosos hospedados em vnote-1321786806.cos.ap-hongkong.myqcloud(.)com.
De maneira semelhante, os websites falsos semelhantes ao VNote (“vnote(.)information” e “vnotepad(.)com”) levam ao mesmo conjunto de hyperlinks myqcloud(.)com, neste caso, também apontando para um instalador do Home windows hospedado no domínio. Dito isto, os hyperlinks para versões potencialmente maliciosas do VNote não estão mais ativos.
Uma análise dos instaladores modificados do Notepad revela que eles são projetados para recuperar uma carga útil de próximo estágio de um servidor remoto, um backdoor que apresenta semelhanças com o Geacon.
É capaz de criar conexões SSH, realizar operações de arquivos, enumerar processos, acessar o conteúdo da área de transferência, executar arquivos, fazer add e obtain de arquivos, fazer capturas de tela e até entrar no modo de suspensão. Comando e controle (C2) é facilitado por meio do protocolo HTTPS.
O desenvolvimento ocorre no momento em que as campanhas de malvertising também atuaram como um canal para outros malwares, como o malware FakeBat (também conhecido como EugenLoader), com a ajuda de arquivos do instalador MSIX disfarçados de Microsoft OneNote, Notion e Trello.
