Usuarios chinos están siendo víctimas de anuncios maliciosos y enlaces falsos mientras buscan software legítimo como Notepad++ y VNote en motores de búsqueda como Baidu. Los ciberdelincuentes están distribuyendo versiones troyanizadas del software, lo que finalmente lleva a la implementación de Geacon, una implementación de Cobalt Strike basada en Golang.
Según Sergey Puzan, investigador de Kaspersky, el sitio malicioso que se encuentra en la búsqueda de Notepad++ se distribuye a través de un bloque de anuncios. Los enlaces de descarga para las versiones de Windows, Linux y macOS del software se encuentran en el sitio malicioso vnote.fuwenkeji[.]cn, que redirige a instaladores maliciosos de Notepad– («Notepad–v2.10.0-plugin-Installer.exe») alojados en el repositorio oficial de Gitee, al que apunta el enlace a la variante de Windows.
De manera similar, los sitios web falsos parecidos a VNote («vnote[.]info» y «vnotepad[.]com») conducen al mismo conjunto de enlaces myqcloud[.]com que apuntan a un instalador de Windows alojado en el dominio. Los instaladores de Notepad– modificados están diseñados para recuperar una carga útil de próxima etapa de un servidor remoto, una puerta trasera que exhibe similitudes con Geacon.
La implementación de Cobalt Strike permite a los ciberdelincuentes crear conexiones SSH, realizar operaciones de archivos, enumerar procesos, acceder al contenido del portapapeles, ejecutar archivos, cargar y descargar archivos, tomar capturas de pantalla e incluso entrar en modo de suspensión. El control y comando (C2) se facilita mediante el protocolo HTTPS.
Es importante tener en cuenta que esta campaña maliciosa en China no es un incidente aislado. Las campañas de malvertising se han utilizado en otras partes del mundo para distribuir malware como FakeBat (también conocido como EugenLoader) con la ayuda de archivos de instalación MSIX que se disfrazan de Microsoft OneNote, Notion y Trello.
Vía The Hacker News
La entrada Ataque malicioso afecta a usuarios chinos con instaladores falsos de Notepad++ y VNote se publicó primero en News Bender Daily.