Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Programari maliciós Winos RAT

Programari maliciós Winos RAT

El Mezo el Programari maliciós, Eines d'administració remota
Traduir a:

Els usuaris de parla xinesa han estat objectiu d'una campanya d'enverinament SEO específica que substitueix les pàgines de descàrrega de programari reals per falsificacions convincents. Els atacants van introduir instal·ladors maliciosos a través de classificacions de cerca manipulades i dominis gairebé idèntics, cosa que facilita a les víctimes l'accés al que sembla programari legítim però que en realitat implementa programari maliciós d'accés remot.

COM FUNCIONA LA CAMPANYA

Els actors amenaçadors van augmentar les pàgines falses als resultats de cerca mitjançant l'ús abusiu de complements de SEO i el registre de dominis similars que imiten visualment proveïdors legítims. Es basaven en intercanvis subtils de caràcters i textos xinesos fluids per enganyar la gent perquè fes clic. Un cop una víctima arriba a una pàgina de descàrrega troiana, el paquet d'instal·lació conté tant l'aplicació esperada com un component maliciós ocult. Aquesta barreja fa que sigui poc probable que la detecció per part d'usuaris ocasionals.

OBJECTIUS I TEMPORITZACIÓ

A l'agost de 2025, uns investigadors van descobrir que la campanya atrau principalment usuaris que busquen eines populars de productivitat i comunicació. Alguns exemples d'objectius de cerca utilitzats per atreure les víctimes són:

Traducció profunda

Google Chrome

Senyal

Telegram

WhatsApp

Oficina WPS

FAMÍLIES DE PROGRAMARIS MALUS IMPLICADES

Els atacs van conduir al desplegament de variants relacionades amb Gh0st RAT, en particular HiddenGh0st i Winos (també conegut com a ValleyRAT). Winos s'ha atribuït a un clúster de ciberdelinqüència rastrejat sota molts àlies: Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 i Void Arachne, i es creu que ha estat actiu des d'almenys el 2022.

LA CADENA DE LLIURAMENT — avaria tècnica

Un petit fitxer JavaScript anomenat nice.js orquestra el lliurament en diversos passos. L'script recupera repetidament respostes JSON: un enllaç de descàrrega inicial retorna un JSON que conté un enllaç secundari, aquest segon enllaç retorna una altra càrrega útil JSON, que finalment redirigeix a l'URL de l'instal·lador maliciós. Aquesta redirecció per capes ofusca la ubicació final de la càrrega útil i complica la detecció simple.

Dins de l'instal·lador:

Una DLL maliciosa anomenada EnumW.dll realitza un conjunt de comprovacions antianàlisi i després extreu una segona DLL (vstdlib.dll). L'extracció i el comportament de vstdlib.dll estan dissenyats per inflar l'ús de memòria i alentir les eines d'anàlisi, cosa que dificulta la inspecció automatitzada o manual.

La segona DLL descomprimeix i inicia la càrrega útil principal només després de sondejar el sistema per detectar la presència d'un producte antivirus específic. Si es detecta aquest component antivirus, el programari maliciós utilitza el segrest de TypeLib COM per establir la persistència i finalment executar un binari de Windows anomenat insalivation.exe.

Si l'antivirus és absent, el programari maliciós crea una drecera de Windows que apunta al mateix executable per aconseguir la persistència.

CÀRREGA ÚTIL FINAL: CÀRREGA SIDEAL AIDE.dll

L'objectiu final és carregar lateralment una DLL anomenada AIDE.dll. Un cop activa, AIDE.dll implementa tres capacitats operatives principals:

  • Comandament i control (C2): comunicacions xifrades amb un servidor remot per a l'intercanvi d'instruccions i dades.
  • Batec del cor: recopilació periòdica d'informació del sistema i de la víctima, incloent-hi l'enumeració dels processos en execució i la seva comprovació amb una llista codificada de productes de seguretat.
  • Monitor: confirmació de la persistència, seguiment de l'activitat de l'usuari i enviament regular de senyals de tornada al C2.

CAPACITATS I PLUGINS ADDICIONALS

El mòdul C2 admet ordres remotes per obtenir complements addicionals. Les capacitats conegudes inclouen el registre de tecles, la captura del porta-retalls, la monitorització de pantalla i eines dissenyades per segrestar moneders de criptomonedes, concretament moneders que contenen actius d'Ethereum i Tether. Diversos complements observats en aquests incidents semblen ser components reutilitzats del marc de treball de Winos i són capaços de vigilància contínua de la pantalla.

PER QUÈ LA INFECCIÓ ÉS DIFÍCIL DE DETECTAR

Com que l'instal·lador inclou l'aplicació legítima juntament amb la càrrega útil maliciosa, un usuari que descarregui el que sembla un programa de confiança potser no notarà res estrany. Els atacants van utilitzar com a arma fins i tot els resultats de cerca d'alt rang, cosa que augmenta la possibilitat que usuaris benintencionats instal·lin els paquets compromesos.

RECOMANACIONS DE DEFENSA

  • Verifiqueu sempre els noms de domini acuradament abans de descarregar programari; busqueu substitucions de caràcters subtils i URL que no coincideixin.
  • Prefereix els llocs web oficials de proveïdors o les botigues d'aplicacions verificades en lloc de les descàrregues dels resultats de la cerca.
  • Feu servir una protecció de punt final que inspeccioni el comportament de l'instal·lador (no només les signatures de fitxers) i activeu la protecció contra la càrrega lateral de DLL i el segrest de COM.
  • Superviseu l'ús inusual de memòria del procés i el comportament inesperat de desempaquetament/extracció dels components de l'instal·lador.

CONCLUSIÓ

Aquesta campanya mostra com els atacants combinen la manipulació SEO, dominis similars, redireccions multietapa i una sofisticada evasió basada en DLL per enviar programari maliciós de la família Gh0st-RAT als usuaris de parla xinesa. La combinació de binaris legítims i càrregues útils ocultes fa que la vigilància sigui essencial: verificar les fonts, examinar els dominis i utilitzar defenses que examinin el comportament en temps d'execució, així com la reputació dels fitxers.

Tendència

Més vist

Carregant...