Зараженные текстовые редакторы нацелены на китайских пользователей

security IOC
Опубликовано

"Малвертайзинг" – это метод, используемый злоумышленниками для привлечения пользователей на вредоносные сайты путем размещения рекламных блоков в верхней части результатов поиска. Такие сайты, находящиеся в верхних позициях, часто вызывают большое доверие у пользователей. В прошлом году специалисты уже упоминали о кампании, где использовалась вредоносная реклама, распространяющая RedLine Stealer через Google Ads. Злоумышленники использовали различные методы, такие как typosquatting, чтобы сделать свои сайты максимально похожими на официальные ресурсы известных программ.

На этот раз подобная угроза затронула пользователей одной из самых популярных китайских поисковых систем. Было обнаружено два случая, когда в системе распространялись модифицированные версии популярных текстовых редакторов. В первом случае вредоносные сайты появлялись в рекламном разделе, а во втором – в верхней части результатов поиска. Пока не удалось установить все детали угрозы, поэтому информация может быть обновлена в будущем.

Были предоставлены скриншоты запросов в поисковой системе, на которых видны вредоносные ссылки. Некоторые из них представляли собой подделку популярных текстовых редакторов, таких как Notepad++ и VNote. Вредоносные сайты предлагали скачать модифицированные версии программ, которые содержали вредоносную полезную нагрузку. Однако, на момент исследования некоторые ссылки уже не работали.

Вредоносные установочные пакеты для Linux и macOS генерировались с некоторыми изменениями в сравнении с оригинальными версиями. Вредоносная версия для macOS содержала исполняемый файл под названием NotePad--, который инициализировал подозрительный класс Uplocal перед запуском приложения. Этот класс загружал и выполнял файл по указанному адресу. Вредоносная версия для Linux также загружалась с вредоносного сервера и содержала определенный хэш MAC-адреса.

Indicators of Compromise

Domains

  • dns.transferusee.com
  • vnote.fuwenkeji.cn
  • vnote.info
  • vnote-1321786806.cos.ap-hongkong.myqcloud.com
  • vnotepad.com

URLs

  • update.transferusee.com/DPysMac64
  • update.transferusee.com/DPysMacM1
  • update.transferusee.com/onl/lnx/
  • update.transferusee.com/onl/mac/

MD5

  • 00fb77b83b8ab13461ea9dd27073f54f
  • 43447f4c2499b1ad258371adff4f503f
  • 47c9fec1a949e160937dd9f9457ec689
  • 5ece6281d57f16d6ae773a16f83568db
  • 6ace1e014863eee67ab1d2d17a33d146
Похожие записи:
  1. Двойник Telegram атакует китайских пользователей
  2. ToddyCat APT IOCs - Part 2
  3. MATA Malware IOCs
  4. Скрипты для заработка атакуют организации
  5. Организации подвергаются атакам криптоминера - кейлоггера - бэкдора
Kaspersky Lab
Добавить комментарий