Utenti cinesi che cercano software legittimi come Notepad++ e VNote sui motori di ricerca come Baidu stanno venendo presi di mira da pubblicità malevole e link fasulli. Questi link distribuiscono versioni trojanizzate del software per poi implementare Geacon, una versione basata su Golang di Cobalt Strike.
Modalità di distribuzione
Sergey Puzan di Kaspersky ha notato una particolare incongruenza in uno dei siti malevoli trovati durante la ricerca di Notepad++. Il sito, oltre a presentare inconsistenze nel nome e nell’aspetto, offre link per il download su Windows, Linux e macOS. Tuttavia, il link per Windows porta a un repository ufficiale che contiene l’installer di Notepad–, mentre le versioni per Linux e macOS conducono a pacchetti d’installazione malevoli.
Analisi del software alterato
L’analisi degli installatori modificati di Notepad– ha rivelato che sono progettati per recuperare payload di seconda fase da un server remoto, esibendo similarità con Geacon. Questa backdoor è capace di creare connessioni SSH, eseguire operazioni sui file, enumerare processi, accedere ai contenuti degli appunti, eseguire file, caricare e scaricare file, acquisire screenshot e addirittura entrare in modalità di sospensione, con il controllo tramite protocollo HTTPS.
Implicazioni per l’industria
Questo episodio evidenzia l’aumento delle campagne di malvertising come mezzo per diffondere malware come FakeBat (aka EugenLoader), sfruttando file di installazione MSIX che si fingono applicazioni Microsoft legittime.
Questo caso sottolinea l’importanza della vigilanza quando si scaricano software da internet, specialmente da fonti non ufficiali o tramite link pubblicitari, e ribadisce la necessità di misure di sicurezza robuste per difendersi dalle minacce informatiche.
