據卡巴斯基安全實驗室發佈的最新報告,該實驗室檢測到有用戶下載的Notepad++(或者分叉版本Notepad--)攜帶病毒,進行針對性分析後卡巴斯基安全實驗室發現黑客竟然在百度搜索上付費投放廣告來誘導用戶下載。
一般來說 Notepad++ 主要是開發者們才會使用,黑客願意付費給百度投放廣告說明背後的原因肯定不簡單,事實上卡巴斯基分析後發現也確實不簡單。
藍點網查詢發現,發佈該付費推廣信息的是 濟南赴文信息科技有限公司,該公司註冊於 2023 年 9 月,法定代表人還名下還有 濟南帆利信息科技有限公司 等,這些公司都已經註冊域名並申請 ICP 備案。
有可能這些公司本身也是空殼公司用來專門在百度搜索上認證並付費投放廣告的,其中赴文信息還在 2023 年 12 月被濟南市天橋區市場監督管理局列入經營異常名單、帆利信息在今年 1 月被列入經營異常名單,因為無法通過註冊地址取得聯系。
![102878-1[1].png](https://cdn.115ip.com/attach/20240316/a597b1ed5617456868cbb86833438c5c38852972.png)
專門針對 Mac 和 Linux 用戶:
卡巴斯基經過分析發現赴文信息的釣魚網站甚至都不會對用戶系統進行判斷,而是直接提供 Windows、Mac 和 Linux 的下載按鈕,其中 Windows 版鏈接指向真的 Notepad++,Mac 和 Linux 版下載鏈接則是帶毒版本。
通常情況下黑客主要都是針對 Windows 用戶的,而此次黑客不僅跳過 Windows 用戶,還願意通過付費點擊來投放帶毒網址,這也說明黑客的目標可能比較復雜。
卡巴斯基研究後發現黑客的目的確實也很麻煩,盡管明確目的不清楚,但後門程序支持的功能非常多,幾乎可以實現對開發者的全方位監控。
後門程序包含的命令列表:
創建 SSH 連接、生成新代理、關閉、設置睡眠模式、截圖、獲取進程列表、終止進程、掃描端口、將自身添加到服務列表中、將自身從服務列表中刪除、獲取計算機名稱、讀取剪切板內容、獲取目錄中的文件列表、獲取磁盤信息、創建目錄、將文件上傳到服務器、執行文件、從服務器下載文件等。
從卡巴斯基截圖來看分析工作應該是一周前開始的,目前在百度搜索 Notepad++ 仍然能看到不少推廣信息,但已經沒有赴文信息。
同時搜索該公司發佈的另一款帶毒軟件廣告 Vnote (一個筆記軟件,也被黑客拿來投放帶毒內容) 網址被百度標記為可能有害,不知道是不是百度收到卡巴斯基的通報,才撤掉相關廣告以及標記有害內容。
![102878-2[1].png](https://cdn.115ip.com/attach/20240316/2835471bebbdab9b722aea9075b13627204b2555.png)