Notepad-- вместо Notepad++: киберпреступники атакуют пользователей в Китае

В ходе недавних исследований было выявлено, что китайские пользователи, которые ищут официальные версии таких программ, как Notepad++ и VNote, через поисковые системы вроде Baidu, всё чаще становятся жертвами хитроумных злоумышленников.

Атаки осуществляются с помощью мошеннических рекламных объявлений в поисковых системах, а также фальшивых ссылок, которые распространяют троянизированные версии данных программ. Конечной целью является установка Geacon, реализации Cobalt Strike на языке Golang.

Рекламные объявления, ведущие на поддельные веб-сайты

Специалисты из «Лаборатории Касперского» обнаружили мошеннический сайт, появляющийся в результатах поиска Notepad++. Сайт примечателен тем, что в его адресе присутствует упоминание VNote, а предлагаемая к загрузке программа на сайте использует логотип Notepad++.

Но чем дальше, тем интереснее: скачанные пакеты содержат уже «Notepad--», что, впрочем, не является выдумкой киберпреступников, так как это вполне себе существующий легитимный текстовый редактор, который представляет из себя практически полную копию Notepad++ для китайского рынка, разрабатываемую местными специалистами.

Забавные несоответствия на мошенническом сайте

Несмотря на то, что на вредоносном сайте можно загрузить три версии программы (для Windows, Linux и macOS), ссылка для Windows почему-то ведёт на официальный репозиторий Gitee с легитимным установщиком Notepad--. В то же время, версии для Linux и macOS ведут на вредоносные установочные пакеты на стороннем ресурсе.

Вторая поддельная страница, которая находится по запросу «vnote» в поисковой системе Baidu, в свою очередь, старается имитировать уже официальный веб-сайт программы VNote, полностью копируя его стилистику. Разумеется, вредоносное ПО присутствует и на этой странице тоже.

Сравнение поддельного и настоящего сайта VNote

Исследование троянизированных установщиков показало, что они предназначены для загрузки дополнительного вредоносного кода с удалённого сервера. Этот код способен создавать SSH-соединения, выполнять операции с файлами, перечислять процессы, получать доступ к содержимому буфера обмена, запускать программы, загружать и выгружать файлы, делать скриншоты и даже переходить в спящий режим. Управление осуществляется по протоколу HTTPS.

Рассмотренные примеры является лишь частью более широкой операции по распространению вредоносного ПО через рекламные кампании, которые ранее использовались для продвижения таких вирусов, как FakeBat (известного также как EugenLoader), с помощью установочных файлов MSIX, маскирующихся под приложения Microsoft OneNote, Notion и Trello.

Специалисты «Лаборатории Касперского» намерены и дальше продолжать исследование этой вредоносной кампании с целью выявления дополнительных этапов атаки и предотвращения распространения вредоносного ПО среди пользователей.

Пользователям рекомендуется проявлять особую осторожность при скачивании программ из Интернета и обращать внимание на любые сомнительные детали (от несоответствия адреса до подозрительного дизайна или очевидных ошибок) на веб-сайтах, предлагающих популярное программное обеспечение.