Baidu gibi arama motorlarında Notepad++ ve VNote gibi meşru yazılımlar arayan Çinli kullanıcılar, yazılımın truva atı haline getirilmiş sürümlerini dağıtmak ve sonuçta Cobalt Strike'ın Golang tabanlı bir uygulaması olan Geacon'u dağıtmak için kötü amaçlı reklamlar ve sahte bağlantılarla hedefleniyor.
Kaspersky araştırmacısı Sergey Puzan, “Notepad++ aramasında bulunan kötü amaçlı site, bir reklam bloğu aracılığıyla dağıtılıyor” dedi.
“Dikkatli bir kullanıcı bunu açtığında komik bir tutarsızlığı hemen fark edecektir: web sitesi adresi vnote satırını içermektedir, başlık Notepad‐‐ (açık kaynaklı yazılım olarak da dağıtılan Notepad++'ın bir benzeri) indirme olanağı sunmaktadır, resim ise gururla Notepad++'ı gösteriyor. Aslında buradan indirilen paketler Notepad-‐” içeriyor.
Vnote.fuwenkeji adlı web sitesi[.]cn, yazılımın Windows, Linux ve macOS sürümlerine indirme bağlantılarını içerir; Windows varyantının bağlantısı, Notepad yükleyicisini (“Notepad–v2.10.0-plugin-Installer.exe) içeren resmi Gitee deposuna işaret eder. “).
Linux ve macOS sürümleri ise vnote-1321786806.cos.ap-hongkong.myqcloud üzerinde barındırılan kötü amaçlı kurulum paketlerine yol açıyor[.]com.
Benzer şekilde, VNote'un sahte benzeri web siteleri (“vnote[.]bilgi” ve “vnotepad[.]com”) aynı myqcloud kümesine yol açar[.]com bağlantıları bu durumda aynı zamanda etki alanında barındırılan bir Windows yükleyicisine de işaret eder. Bununla birlikte, VNote'un potansiyel olarak kötü amaçlı sürümlerine olan bağlantılar artık etkin değildir.
Değiştirilen Not Defteri yükleyicilerinin analizi, bunların Geacon ile benzerlikler gösteren bir arka kapı olan uzak bir sunucudan bir sonraki aşamadaki yükü almak üzere tasarlandığını ortaya koyuyor.
SSH bağlantıları oluşturma, dosya işlemlerini gerçekleştirme, işlemleri numaralandırma, pano içeriğine erişme, dosyaları yürütme, dosya yükleme ve indirme, ekran görüntüsü alma ve hatta uyku moduna girme yeteneğine sahiptir. Komuta ve kontrol (C2), HTTPS protokolü aracılığıyla kolaylaştırılır.
Bu gelişme, kötü amaçlı reklam kampanyalarının aynı zamanda Microsoft OneNote, Notion ve Trello gibi görünen MSIX yükleyici dosyalarının yardımıyla FakeBat (aka EugenLoader) kötü amaçlı yazılımı gibi diğer kötü amaçlı yazılımlar için bir kanal görevi görmesi nedeniyle ortaya çıkıyor.