警惕！黑客利用使用虚假Notepad++和VNote安装程序针对中国用户展开攻击

1 |事件概述

2024年3月13日，来自Kaspersky的安全研究人员发现黑客正在使用Typosquatting攻击技术，面向中国用户通过搜索引擎或恶意广告来诱导用户下载与点击，实现恶意软件的分发或恶意软件植入。Typosquatting是一种社会工程攻击技术，也称作URL劫持、域名模仿、毒刺网站或虚假URL等，也是一种域名抢注的形式。这种域名劫持的方式通常有赖于用户在浏览器中输入网址时，犯下诸如错误拼写等错误。用户一旦不小心输入了一个错误的网址，便有可能被导向任何一个其他的网址（比如说一个域名抢注者运营的网站）。用户可能会被骗进这些虚假网站，输入敏感详细信息。对于被攻击者模仿的这些受害组织，这些网站可能会造成严重的声誉损害。攻击者往往会通过“恶意广告”来吸引受害者访问恶意网站是目前一种非常流行攻击方式。“恶意广告”被放置在搜索引擎结果的顶部，会更多的增加用户点击链接的可能性，同时，搜索引擎结果顶部的网站也往往是更容易受用户信任的网站。这一次，他们发现中国互联网上最受欢迎的搜索引擎之一的用户也受到了类似的威胁。他们在威胁跟踪中发现了两种文本编辑器的修改版本在该搜索引擎结果中分布的情况：第一种情况是恶意资源出现在广告部分；第二种情况是出现在搜索结果的顶部。不过目前他们还无法确定攻击者的所有细节，因此他们还将继续跟进分析并在稍后更新技术分析报告。

2 |攻击过程分析

研究人员发现在百度搜索引擎上寻找Notepad++和VNote等合法软件的中国用户正成为恶意广告和虚假链接的目标，这些链接会分发该软件的木马版本，并最终部署Geacon（一种基于Golang的Cobalt Strike工具）：

图 1 搜索 notepad++ 的广告部分（左）和 vnote 的搜索结果（右）中的恶意链接

在Notepad++搜索中发现的恶意站点是通过广告进行分发。打开它，细心的用户会立即注意到一个有趣的不一致处：网站地址包含vnote行，标题提供了Notepad--（Notepad++ 的类似物，也作为开源软件分发）的下载，而图像显示 Notepad++。事实上，从这里下载的软件包包含Notepad--。

图 2 带有假Notepad++的页面

该网站提供三个流行平台（Windows、Linux、macOS）的安装程序，但是，这里只有两个恶意链接，分别指向macOS和Linux版本的下载页面。另外其中 Windows 版本的链接指向包含Notepad-- 安装程序的官方Gitee 存储库（“Notepad- -v2.10.0-plugin-Installer.exe”）。

图 3 应用程序下载链接，链接到恶意Notepad--下载页面上的按钮

同时，以类似的方式，在VNote搜索中找到的两个试图模仿该程序的官方网站：

图 4 在VNote搜索中找到的两个试图模仿该程序的官方网站

不幸的是，在本次调查时，VNote的假冒相似网站（“vnote[.]info”和“vnotepad[.]com”）指向潜在恶意版本的VNote的链接不再起作用。但是，它们的链接指向了与Notepad--链接指向的相同。

图 5 应用程序下载链接，链接到虚假 VNote 网站上的按钮

对修改后的Notepad--安装程序的进行深度分析后发现，它们旨在从远程服务器检索下一阶段的有效载荷，这是一个与Geacon相似的后门。它能够创建SSH连接、执行文件操作、枚举进程、访问剪贴板内容、执行文件、上传和下载文件、截屏，甚至进入睡眠模式。通过HTTPS协议促进命令和控制(C2)。与此同时，恶意广告活动还借助伪装成Microsoft OneNote、Notion和Trello的MSIX安装程序文件，充当了其他恶意软件的传播渠道，例如FakeBat（又名EugenLoader）恶意软件。

3 |参考链接

https://securelist.com/trojanized-text-editor-apps/112167/

原文始发于微信公众号（白泽安全实验室）：警惕！黑客利用使用虚假Notepad++和VNote安装程序针对中国用户展开攻击