Зловреден софтуер Winos RAT

Китайскоговорящите потребители са били обект на целенасочена SEO кампания, която замества истински страници за изтегляне на софтуер с убедителни фалшификати. Нападателите са прокарвали злонамерени инсталатори чрез манипулирани класации в търсачките и почти идентични домейни, което улеснява жертвите да се сдобият с нещо, което изглежда като легитимен софтуер, но всъщност внедрява зловреден софтуер с отдалечен достъп.

КАК РАБОТИ КАМПАНИЯТА

Злонамерените лица са увеличили броя на фалшивите страници в резултатите от търсенето, като са злоупотребявали с SEO плъгини и са регистрирали подобни домейни, които визуално имитират легитимни доставчици. Те са разчитали на фини замени на символи и плавен китайски текст, за да заблудят хората и да ги накарат да кликнат. След като жертвата попадне на заразена с троянски кон страница за изтегляне, инсталационният пакет съдържа както очакваното приложение, така и скрит злонамерен компонент. Тази комбинация прави откриването от обикновени потребители малко вероятно.

ЦЕЛИ И ВРЕМЕННА ГРАФИКА

През август 2025 г. изследователи откриха, че кампанията примамва предимно потребители, търсещи популярни инструменти за продуктивност и комуникация. Примери за цели за търсене, използвани за примамване на жертви, включват:

DeepL Превод

Google Chrome

Сигнал

Телеграма

WhatsApp

Офис на WPS

ЗАСЕГНАТИ СЕМЕЙСТВА ЗЛОВРЕДЕН ПРОГРАМ

Атаките доведоха до внедряването на варианти, свързани с Gh0st RAT, по-специално HiddenGh0st и Winos (известен също като ValleyRAT). Winos е свързан с клъстер от киберпрестъпления, проследяван под много псевдоними — Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 и Void Arachne — и се смята, че е активен поне от 2022 г.

ВЕРИГАТА ЗА ДОСТАВКИ — техническа повреда

Малък JavaScript файл с име nice.js оркестрира многоетапната доставка. Скриптът многократно извлича JSON отговори: първоначалната връзка за изтегляне връща JSON, съдържаща вторична връзка, а втората връзка връща друг JSON полезен товар, който накрая пренасочва към URL адреса на злонамерения инсталатор. Това многопластово пренасочване едновременно обфускира местоположението на крайния полезен товар и усложнява лесното откриване.

Вътре в инсталатора:

Злонамерен DLL файл с име EnumW.dll извършва набор от анти-анализ проверки и след това извлича втори DLL файл (vstdlib.dll). Извличането и поведението на vstdlib.dll са предназначени да увеличат използването на памет и да забавят инструментите за анализ, възпрепятствайки автоматизираната или ръчна проверка.

Втората DLL библиотека разопакова и стартира основния полезен товар само след като провери системата за наличие на специфичен антивирусен продукт. Ако този AV компонент бъде открит, зловредният софтуер използва отвличане на COM от TypeLib, за да установи постоянство и в крайна сметка да изпълни двоичен файл за Windows с име insalivation.exe.

Ако антивирусната програма отсъства, зловредният софтуер създава пряк път в Windows, който сочи към същия изпълним файл, за да се постигне постоянство.

КРАЙЕН ПОЛЕЗЕН ТОВАР: SIDELOADING AIDE.dll

Крайната цел е да се зареди странично DLL файл, наречен AIDE.dll. След като стане активен, AIDE.dll реализира три основни оперативни възможности:

• Командване и контрол (C2): криптирана комуникация с отдалечен сървър за инструкции и обмен на данни.
• Сърдечен ритъм: периодично събиране на системна информация и информация за жертвата, включително изброяване на работещите процеси и проверката им спрямо твърдо кодиран списък с продукти за сигурност.
• Монитор: потвърждение за постоянство, проследяване на потребителската активност и редовно изпращане на сигнал обратно към C2.

ДОПЪЛНИТЕЛНИ ВЪЗМОЖНОСТИ И ПЛУГИНИ

Модулът C2 поддържа отдалечени команди за извличане на допълнителни плъгини. Известните възможности включват кейлогинг, заснемане на клипборда, наблюдение на екрана и инструменти, предназначени за отвличане на портфейли с криптовалута – по-специално портфейли, съдържащи активи на Ethereum и Tether. Няколко плъгина, наблюдавани при тези инциденти, изглежда са повторно използвани компоненти от рамката Winos и са способни на непрекъснато наблюдение на екрана.

ЗАЩО ИНФЕКЦИЯТА Е ТРУДНО ОТКРИВАЕМА

Тъй като инсталаторът включва легитимното приложение заедно със злонамереното съдържание, потребител, който изтегля програма, която изглежда като надеждна, може никога да не забележи нищо нередно. Нападателите са използвали като оръжие дори високопоставени резултати от търсенето, което увеличава вероятността добронамерени потребители да инсталират компрометираните пакети.

ПРЕПОРЪКИ ЗА ОТБРАНА

• Винаги проверявайте внимателно имената на домейни, преди да изтегляте софтуер; търсете фини замествания на символи и несъответстващи URL адреси.
• Предпочитайте официални сайтове на доставчици или проверени магазини за приложения, вместо изтегляния от резултати от търсенето.
• Използвайте защита на крайните точки, която проверява поведението на инсталатора (не само файловите подписи) и активирайте защита срещу странично зареждане на DLL и отвличане на COM.
• Следете за необичайно използване на паметта от процесите и неочаквано поведение при разархивиране/извличане от компонентите на инсталатора.

ЗАКЛЮЧЕНИЕ

Тази кампания показва как нападателите комбинират SEO манипулация, подобни домейни, многоетапно пренасочване и сложно избягване на DLL кодове, за да наложат злонамерен софтуер от семейството Gh0st-RAT на китайскоговорящи потребители. Смесицата от легитимни двоични файлове и скрити полезни товари прави бдителността от съществено значение: проверявайте източниците, изследвайте домейните и използвайте защити, които разглеждат поведението по време на изпълнение, както и репутацията на файловете.