百度等搜索引擎上的虚假广告引导用户下载虚假的notepad++和VNote，从而部署Geacon木马在百度等搜索引擎上寻找正版软件(如notepad++和VNote)的中国用户正成为恶意广告和虚假链接的目标，这些恶意广告和虚假链接分发了这些软件的木马版本，并最终部署了Geacon，这是一款基于golang的Cobalt Strike软件

Fri, 15 Mar 2024 06:33:44 GMT

百度等搜索引擎上的虚假广告引导用户下载虚假的notepad++和VNote，从而部署Geacon木马

在百度等搜索引擎上寻找正版软件(如notepad++和VNote)的中国用户正成为恶意广告和虚假链接的目标，这些恶意广告和虚假链接分发了这些软件的木马版本，并最终部署了Geacon，这是一款基于golang的Cobalt Strike软件。

“在notepad++搜索中发现的恶意网站是通过广告块传播的，”卡巴斯基研究员谢尔盖·普赞说。

打开它，细心的用户会立即注意到一个有趣的不一致:网站地址包含一行vnote，标题提供了Notepad‐‐的下载(类似于notepad++，也作为开源软件分发)，而图像自豪地显示notepad++。事实上，从这里下载的软件包包含Notepad‐‐。”

该网站名为vnote.fuwenkeji[.]cn，包含Windows, Linux和macOS版本软件的下载链接，Windows版本的链接指向包含Notepad—installer(“Notepad—v2.10.0-plugin-Installer.exe”)的官方Gitee存储库。

另一方面，Linux和macOS版本会导致恶意安装包驻留在vnote- 1321786806.coss.ap-hongkong.myqcloud [.]com上。

以类似的方式，仿冒的VNote网站。("VNote[.] info"和"vnotepad[.]com")会导致相同的myqcloud[.]com链接，在这种情况下，也指向托管在域上的Windows安装程序。也就是说，指向VNote潜在恶意版本的链接已不再活跃。

对修改后的Notepad安装程序的分析表明，它们旨在从远程服务器检索下一阶段的有效载荷，这是一个与Geacon相似的后门程序。

它能够创建SSH连接、执行文件操作、枚举进程、访问剪贴板内容、执行文件、上传和下载文件、截取屏幕截图，甚至进入睡眠模式。命令与控制(C2)是通过HTTPS协议实现的。

随着恶意广告活动也成为其他恶意软件的渠道，如FakeBat(又名EugenLoader)恶意软件借助MSIX安装文件伪装成微软OneNote, Notion和Trello。

🗒 标签: #Geacon木马 #恶意网站 #VNote #Notepad
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot

VNote | Yummy 😋