网络第5域

黑客在百度付费推广Notepad++带毒版 专门针对Mac和Linux用户

字号+作者: 来源:蓝点网 2024-03-16 17:31 评论(创建话题) 收藏成功收藏本文

据卡巴斯基安全实验室发布的最新报告,该实验室检测到有用户下载的Notepad++(或者分叉版本Notepad--)携带病毒,进行针对性分析后卡巴斯基安全实验室发现黑'...

据卡巴斯基安全实验室发布的最新报告,该实验室检测到有用户下载的Notepad++(或者分叉版本Notepad--)携带病毒,进行针对性分析后卡巴斯基安全实验室发现黑客竟然在百度搜索上付费投放广告来诱导用户下载。h0f品论天涯网

一般来说Notepad++主要是开发者们才会使用,黑客愿意付费给百度投放广告说明背后的原因肯定不简单,事实上卡巴斯基分析后发现也确实不简单。h0f品论天涯网

蓝点网查询发现,发布该付费推广信息的是济南赴文信息科技有限公司,该公司注册于2023年9月,法定代表人还名下还有济南帆利信息科技有限公司等,这些公司都已经注册域名并申请了ICP备案。h0f品论天涯网

有可能这些公司本身也是空壳公司用来专门在百度搜索上认证并付费投放广告的,其中赴文信息还在2023年12月被济南市天桥区市场监督管理局列入经营异常名单、帆利信息在今年1月被列入经营异常名单,因为无法通过注册地址取得联系。h0f品论天涯网


h0f品论天涯网

专门针对Mac和Linux用户:h0f品论天涯网

卡巴斯基经过分析发现赴文信息的钓鱼网站甚至都不会对用户系统进行判断,而是直接提供Windows、Mac和Linux的下载按钮,其中Windows版链接指向真的Notepad++,Mac和Linux版下载链接则是带毒版本。h0f品论天涯网

通常情况下黑客主要都是针对Windows用户的,而此次黑客不仅跳过Windows用户,还愿意通过付费点击来投放带毒网址,这也说明黑客的目标可能比较复杂。h0f品论天涯网

卡巴斯基研究后发现黑客的目的确实也很麻烦,尽管明确目的不清楚,但后门程序支持的功能非常多,几乎可以实现对开发者的全方位监控。h0f品论天涯网

后门程序包含的命令列表:h0f品论天涯网

创建SSH连接、生成新代理、关闭、设置睡眠模式、截图、获取进程列表、终止进程、扫描端口、将自身添加到服务列表中、将自身从服务列表中删除、获取计算机名称、读取剪切板内容、获取目录中的文件列表、获取磁盘信息、创建目录、将文件上传到服务器、执行文件、从服务器下载文件等。h0f品论天涯网

从卡巴斯基截图来看分析工作应该是一周前开始的,目前在百度搜索Notepad++仍然能看到不少推广信息,但已经没有赴文信息。h0f品论天涯网

同时搜索该公司发布的另一款带毒软件广告Vnote(一个笔记软件,也被黑客拿来投放带毒内容)网址被百度标记为可能有害,不知道是不是百度收到了卡巴斯基的通报,才撤掉相关广告以及标记有害内容。h0f品论天涯网


h0f品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]