Người dùng Trung Quốc đang tìm kiếm phần mềm hợp pháp như Notepad ++ và VNote trên các công cụ tìm kiếm như Baidu đang bị nhắm mục tiêu với các quảng cáo độc hại và liên kết không có thật để phân phối các phiên bản trojan của phần mềm và cuối cùng triển khai Geacon, một triển khai Cobalt Strike dựa trên Golang.
"Trang web độc hại được tìm thấy trong tìm kiếm notepad ++ được phân phối thông qua một khối quảng cáo", nhà nghiên cứu Sergey Puzan của Kaspersky cho biết.
"Mở nó ra, một người dùng tinh ý sẽ ngay lập tức nhận thấy một sự mâu thuẫn thú vị: địa chỉ trang web chứa dòng vnote, tiêu đề cung cấp tải xuống Notepad ‐‐ (một chất tương tự của Notepad ++, cũng được phân phối dưới dạng phần mềm nguồn mở), trong khi hình ảnh tự hào hiển thị Notepad ++. Trên thực tế, các gói được tải xuống từ đây có chứa Notepad‐‐."
Trang web, được đặt tên là vnote.fuwenkeji[.] cn, chứa các liên kết tải xuống các phiên bản Windows, Linux và macOS của phần mềm, với liên kết đến biến thể Windows trỏ đến kho lưu trữ Gitee chính thức có chứa trình cài đặt Notepad ("Notepad--v2.10.0-plugin-Installer.exe").
Mặt khác, các phiên bản Linux và macOS dẫn đến các gói cài đặt độc hại được lưu trữ trên vnote-1321786806.cos.ap-hongkong.myqcloud[.] Com.
Theo cách tương tự, các trang web giả mạo trông giống nhau cho VNote ("vnote[.] thông tin" và "vnotepad[.] com") dẫn đến cùng một tập hợp myqcloud[.] com liên kết, trong trường hợp này, cũng trỏ đến một trình cài đặt Windows được lưu trữ trên miền. Điều đó nói rằng, các liên kết đến các phiên bản độc hại tiềm ẩn của VNote không còn hoạt động.
Một phân tích về các trình cài đặt Notepad đã sửa đổi cho thấy chúng được thiết kế để truy xuất tải trọng giai đoạn tiếp theo từ một máy chủ từ xa, một cửa hậu thể hiện sự tương đồng với Geacon.
Nó có khả năng tạo kết nối SSH, thực hiện các thao tác tệp, liệt kê các quy trình, truy cập nội dung khay nhớ tạm, thực thi tệp, tải lên và tải xuống tệp, chụp ảnh màn hình và thậm chí vào chế độ ngủ. Chỉ huy và kiểm soát (C2) được tạo điều kiện bằng giao thức HTTPS.
Sự phát triển này diễn ra khi các chiến dịch quảng cáo độc hại cũng hoạt động như một ống dẫn cho các phần mềm độc hại khác như phần mềm độc hại FakeBat (hay còn gọi là EugenLoader) với sự trợ giúp của các tệp trình cài đặt MSIX giả mạo Microsoft OneNote, Notion và Trello.