你的记事本里有什么？受感染的文本编辑器以我国用户为目标

“恶意广告”是吸引受害者访问恶意网站的一种流行方式：在搜索结果顶部放置广告块，增加用户点击链接的可能性。位于搜索结果顶部的网站也往往更受用户信任。一年前，我们的专家讨论了一场通过 Google Ads 传播RedLine窃取程序的恶意广告活动。使用域名仿冒和其他技术，攻击者试图使他们的资源看起来尽可能与流行程序的官方网站相似。

这一次，类似的威胁也影响了我国互联网上最受欢迎的搜索引擎之一的用户。我们发现了两个相关案例，流行文本编辑器的修改版本在该系统中传播：第一个案例中，恶意资源出现在广告部分；第二个案例中，恶意资源出现在广告部分；第二个案例中，恶意资源出现在广告部分；在第二种情况下，位于搜索结果的顶部。我们尚未确定威胁的所有细节，因此此材料可能会在稍后更新。

搜索结果中的恶意网站

下面的屏幕截图显示了搜索引擎用恶意链接响应的两个搜索：

广告部分中搜索notepad++（左）和vnote搜索结果（右）的恶意链接

notepad++搜索中发现的恶意站点是通过广告块进行分发的。打开它，细心的用户会立即注意到一个有趣的不一致之处：网站地址包含vnote行，标题提供了Notepad‐‐ （ Notepad++的类似物，也作为开源软件分发）的下载，而图像自豪地显示notepad++。事实上，从这里下载的包中包含Notepad‐。

带有假 NotePad++ 的页面

该站点提供三个流行平台（Windows、Linux、macOS）的安装程序；然而，这里只有两个恶意链接，分别指向 macOS 和 Linux 版本的下载页面。Windows版本的链接指向官方存储库并且不是恶意的：

应用程序下载链接，链接到恶意记事本下载页面上的按钮

截图显示，恶意安装包来源为资源vnote-1321786806[.]cos[.]ap-hongkong[.]myqcloud[.]com

与此同时，在vnote搜索中找到的第二个页面试图模仿该程序的官方网站：

假冒（上）和原始（下）VNote网站

不幸的是，在进行本次调查时，指向VNote潜在恶意版本的链接已不再起作用；然而，它们导致了与记事本链接相同的资源：

应用程序下载链接，链接到假冒 VNote 网站上的按钮

带有恶意负载的文本编辑器

由于我们有适用于 Linux 和 macOS 的假记事本样本，因此我们可以仔细研究它们。

下载的应用程序与原始版本存在一些差异，恶意Linux和macOS版本的功能相似。接下来，我们将检查 macOS 版本（MD5：00fb77b83b8ab13461ea9dd27073f54f）。它是 DMG 格式的磁盘映像，其内容与原始（版本 2.0.0）相同，除了可执行文件本身，名为 NotePad‐（MD5：6ace1e014863eee67ab1d2d17a33d146）。

研究其main函数的内容，我们发现在应用程序启动之前，可疑的类Uplocal被初始化，而原始Notepad的源代码中不存在该类：

在应用程序启动之前修改了部分代码

此类仅实现一种名为run的方法。其目的是下载一个文件到/tmp/updater路径并执行：

Uplocal 类的 run 方法的有效负载

该文件从地址hxxp://update[.]transferusee[.]com/onl/mac/<md5_hash>下载，其中<md5_hash>是通过执行GetComputerUUID函数获取的设备序列号的 MD5 哈希值以下 bash 命令：

ioreg -rd1 -c IOPlatformExpertDevice |  awk '/IOPlatformSerialNumber/ { print $3; }'

Linux 版本略有不同：

• 该文件是从同一地址下载的，但位于目录 /onl/lnx/ 中：hxxp://update[.]transferusee[.]com/onl/lnx/<md5_hash>
  

• <md5_hash>是设备 MAC 地址的 MD5 哈希值：

获取并散列设备的 MAC 地址

不幸的是，在我们调查时，下载的文件在服务器上不再可用，我们无法确定那里应该有什么。

然而，我们确信该服务器有另一个子域dns[.]transferusee[.]com ，并且它由名为DPysMac64 ( MD5: 43447f4c2499b1ad258371adff4f503f )的 Mach-O 文件访问，该文件先前上传到 VT 并且未被任何检测到调查时的供应商：

VT 上的 DPysMac64 文件页面

此外，该文件存储在应该下载神秘更新程序的同一服务器上：

从 update[.]transferusee[.]com 加载 DPysMac64

由此，我们可以相当自信地假设更新程序是一个中间步骤，最终应导致加载DPysMac64。服务器还包含一个名为DPysMacM1的文件，该文件的名称意味着它是为在 Apple Silicon 处理器上运行的系统构建的；然而，实际上，它与DPysMac64是同一个文件。

该应用程序是一个后门，与所谓的Geacon非常相似——Geacon 是用 Go 编写的CobaltStrike代理的开源实现。尽管攻击者从他们的项目中删除了对Geacon的任何直接提及，但我们发现了大量与geacon_plus、geacon_pro和BeaconTool的实现相匹配的函数和模块的行、名称和代码片段。例如，它们具有几乎完全相同的sysinfo模块、函数FirstBlood、EncryptedMetaInfo、PullCommand等：

DPysMac64的sysinfo模块的函数列表（左）和geacon_pro的实例（右）的比较

后门有两种启动选项——正常启动和服务启动。与 C2 服务器dns[.]transferusee[.]com 的通信通过 HTTPS 协议进行。有趣的是，攻击者将该实现执行远程命令功能的项目命名为spacex：

DPysMac64 文件行中包含的后门模块的名称

后门包含以下命令列表：

受感染应用程序之间的连接

虽然我们无法确定之前从vnote[.]info下载的文件，但我们发现两个站点上分发应用程序的来源是相同的。还值得一提的是我们在检查修改后的记事本时完全偶然发现的另一个有趣的细节。在可执行文件的行中，我们发现类似于“关于”窗口的文本，但它不是指向官方项目网站的链接，而是包含指向可疑资源vnotepad[.]com 的链接。以下是程序用户界面中“关于”窗口的屏幕截图：

关于修改记事本的窗口–

“关于”窗口中的链接将我们引导至一个存根页面：

我们觉得很奇怪，所以尝试从 HTTP 切换到 HTTPS，这使得我们可以发现这个站点是VNote站点的另一个副本，类似于我们在vnote[.]info上看到的那个。此外，当打开此站点时，浏览器警告我们它使用的证书无效，因为它是为vnote[.]info颁发的：

网站 vnotepad[.]com 使用的证书

这表明所描述的两个案例之间存在明确的联系，并且修改后的VNote编辑器的目的很可能与NotePad‐类似，并且涉及传递下一阶段的感染。

结论

我们正在继续研究上述威胁，并寻找尚未发现的中间阶段。此外，我们已经确定 Linux 和 macOS 应用程序中的更改是相同的，这表明 Linux 可能存在与 macOS 类似的后门。