Новости Notepad-- вместо Notepad++: киберпреступники атакуют пользователей в Китае

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Как предприимчивым хакерам удалось подловить невнимательных пользователей.


somueiar9627hubiryg13l3vacew3k2a.jpg


В ходе недавних исследований было выявлено, что китайские пользователи, которые ищут официальные версии таких программ, как Notepad++ и VNote, через поисковые системы вроде Baidu, всё чаще становятся жертвами хитроумных злоумышленников.

Атаки осуществляются с помощью мошеннических рекламных объявлений в поисковых системах, а также фальшивых ссылок, которые распространяют троянизированные версии данных программ. Конечной целью является установка Geacon, реализации Cobalt Strike на языке Golang.


4ftd3j5b2yegxzc52w6hwqdoi54dxmqp.png


Рекламные объявления, ведущие на поддельные веб-сайты

Специалисты из «Лаборатории Касперского» Для просмотра ссылки Войди или Зарегистрируйся мошеннический сайт, появляющийся в результатах поиска Notepad++. Сайт примечателен тем, что в его адресе присутствует упоминание VNote, а предлагаемая к загрузке программа на сайте использует логотип Notepad++.

Но чем дальше, тем интереснее: скачанные пакеты содержат уже «Notepad--», что, впрочем, не является выдумкой киберпреступников, так как это Для просмотра ссылки Войди или Зарегистрируйся легитимный текстовый редактор, который представляет из себя практически полную копию Notepad++ для китайского рынка, разрабатываемую местными специалистами.


h285m03y2gki0devmikj2vhiksji3ktk.png


Забавные несоответствия на мошенническом сайте

Несмотря на то, что на вредоносном сайте можно загрузить три версии программы (для Windows, Linux и macOS), ссылка для Windows почему-то ведёт на официальный репозиторий Gitee с легитимным установщиком Notepad--. В то же время, версии для Linux и macOS ведут на вредоносные установочные пакеты на стороннем ресурсе.

Вторая поддельная страница, которая находится по запросу «vnote» в поисковой системе Baidu, в свою очередь, старается имитировать уже официальный веб-сайт программы VNote, полностью копируя его стилистику. Разумеется, вредоносное ПО присутствует и на этой странице тоже.


2i38vd6iwok439tqytgrlvtv8rig7jol.png


Сравнение поддельного и настоящего сайта VNote

Исследование троянизированных установщиков показало, что они предназначены для загрузки дополнительного вредоносного кода с удалённого сервера. Этот код способен создавать SSH-соединения, выполнять операции с файлами, перечислять процессы, получать доступ к содержимому буфера обмена, запускать программы, загружать и выгружать файлы, делать скриншоты и даже переходить в спящий режим. Управление осуществляется по протоколу HTTPS.

Рассмотренные примеры является лишь частью более широкой операции по распространению вредоносного ПО через рекламные кампании, которые ранее использовались для распространения таких вирусов, как FakeBat (известного также как EugenLoader), с помощью установочных файлов MSIX, маскирующихся под приложения Microsoft OneNote, Notion и Trello.

Специалисты «Лаборатории Касперского» намерены и дальше продолжать исследование этой вредоносной кампании с целью выявления дополнительных этапов атаки и предотвращения распространения вредоносного ПО среди пользователей.

Пользователям рекомендуется проявлять особую осторожность при скачивании программ с интернета и обращать внимание на любые несоответствия или подозрительные детали (от несоответствия адреса до подозрительного дизайна или очевидных ошибок) на веб-сайтах, предлагающих популярное программное обеспечение.
 
Источник новости
www.securitylab.ru

Похожие темы