在百度等搜索引擎上寻找 Notepad++ 和 VNote 等合法软件的中国用户正成为恶意广告和虚假链接的目标,这些链接会分发该软件的木马版本,并最终部署 Geacon(一种基于 Golang 的 Cobalt Strike 实现)。
该网站名为 vnote.fuwenkeji.cn,包含该软件的 Windows、Linux 和 macOS 版本的下载链接,其中 Windows 版本的链接指向包含 Notepad– 安装程序的官方 Gitee 存储库(“Notepad- -v2.11.0-plugin-Installer.exe”)。Linux 和 macOS 版本会导致托管在 vnote-1321786806.cos.ap-hongkong.myqcloud.com 上的恶意安装包。
用户打开网站后可以看到网站标题显示为Notepad‐‐v2.11 download,图片上显示为Notepad++,用户很容易误解这就是Notepad++。事实上,从这里下载的软件为Notepad‐‐。
对Notepad– 安装程序的分析表明,它们旨在从远程服务器下载一段恶意代码,这是一个与 Geacon 相似的后门
它能够创建 SSH 连接、执行文件操作、枚举进程、访问剪贴板内容、执行文件、上传和下载文件、截屏,甚至进入睡眠模式。 通过 HTTPS 协议促进命令和控制。与此同时,恶意广告活动还借助伪装成 Microsoft OneNote、Notion 和 Trello 的 MSIX 安装程序文件,充当了其他恶意软件的传播渠道,例如 FakeBat(又名 EugenLoader)恶意软件。