โฆษณาที่เป็นอันตรายกำหนดเป้าหมายที่ผู้ใช้ชาวจีน ด้วยโปรแกรมติดตั้ง Notepad++ และ VNote ปลอม

107/67 (IT) ประจำวันอังคารที่ 19 มีนาคม 2567

นักวิจัยของ Kaspersky กล่าวว่า ผู้ใช้ชาวจีนที่กำลังมองหาซอฟต์แวร์ที่ถูกต้องตามกฎหมาย เช่น Notepad ++ และ VNote บนเครื่องมือค้นหาอย่าง Baidu กำลังตกเป็นเป้าหมายของการโจมตีด้วยการโฆษณาหลอกลวงที่เป็นอันตรายและลิงก์ปลอมเพื่อเผยแพร่ซอฟต์แวร์เวอร์ชันที่เป็นโทรจัน และปรับใช้ Geacon ซึ่งเป็นการใช้งาน Cobalt Strike บน Golang โดยเว็บไซต์ที่ชื่อ vnote.fuwenkeji[.]cn มีลิงก์ดาวน์โหลดไปยังซอฟต์แวร์เวอร์ชัน Windows, Linux และ macOS โดยมีลิงก์ไปยังเวอร์ชัน Windows ที่ชี้ไปยังที่เก็บ Gitee อย่างเป็นทางการ ซึ่งมีโปรแกรมติดตั้ง Notepad– (“Notepad- -v2.10.0-plugin-Installer.exe”) แต่ในทางกลับกัน เวอร์ชัน Linux และ macOS จะนำไปสู่แพ็คเกจการติดตั้งที่เป็นอันตรายซึ่งมีโฮสต์บน vnote-1321786806.cos.ap-hongkong.myqcloud[.]com และในแนวทางเดียวกัน เว็บไซต์ปลอมที่มีลักษณะเหมือนกันสำหรับ VNote (“vnote[.]info” และ “vnotepad[.]com”) นำไปสู่ชุดลิงก์ myqcloud[.]com ชุดเดียวกัน ที่ชี้ไปที่ตัวติดตั้ง Windows ที่มีโฮสต์บนโดเมน อย่างไรก็ตาม ลิงก์ไปยัง VNote เวอร์ชันที่อาจเป็นอันตรายจะไม่สามารถใช้งานได้อีกต่อไป การวิเคราะห์ตัวติดตั้ง Notepad ที่ได้รับการดัดแปลงเผยให้เห็นว่าพวกมันได้รับการออกแบบมาเพื่อดึงข้อมูลเพย์โหลดขั้นต่อไปจากเซิร์ฟเวอร์ระยะไกล ซึ่งเป็นแบ็คดอร์ที่มีความคล้ายคลึงกับ Geacon ที่สามารถสร้างการเชื่อมต่อ SSH, ดำเนินการไฟล์, แจกแจงกระบวนการ, เข้าถึงเนื้อหาคลิปบอร์ด, เรียกใช้ไฟล์, อัปโหลดและดาวน์โหลดไฟล์, ถ่ายภาพหน้าจอ และแม้แต่เข้าสู่โหมดสลีป Command-and-control (C2) ได้รับการอำนวยความสะดวกโดยใช้โปรโตคอล HTTPS การพัฒนาดังกล่าวเกิดขึ้นเนื่องจากแคมเปญโฆษณามัลแวร์ยังทำหน้าที่เป็นช่องทางสำหรับมัลแวร์อื่น ๆ เช่น มัลแวร์ FakeBat (หรือที่รู้จักกันในชื่อ EugenLoader) ด้วยความช่วยเหลือของไฟล์ตัวติดตั้ง MSIX ที่ปลอมแปลงเป็น Microsoft OneNote, Notion และ Trello

แหล่งข่าว https://thehackernews.com/2024/03/malicious-ads-targeting-chinese-users.html