Malware Winos RAT

Čínsky mluvící uživatelé se stali terčem cílené SEO kampaně, která nahrazuje skutečné stránky pro stahování softwaru přesvědčivými padělky. Útočníci protlačovali škodlivé instalační programy prostřednictvím zmanipulovaných výsledků vyhledávání a téměř identických domén, což obětem usnadňovalo získání softwaru, který vypadá jako legitimní, ale ve skutečnosti instaluje malware pro vzdálený přístup.

JAK KAMPAŇ FUNGUJE

Útočníci zvyšovali počet falešných stránek ve výsledcích vyhledávání zneužíváním SEO pluginů a registrací lstivých domén, které vizuálně napodobují legitimní dodavatele. Spoléhali na nenápadné záměny znaků a plynulou čínštinu, aby oklamali uživatele a přiměli je kliknout. Jakmile se oběť dostane na stránku ke stažení napadenou trojským koněm, instalační balíček obsahuje jak očekávanou aplikaci, tak skrytou škodlivou komponentu. Tato kombinace činí detekci běžnými uživateli nepravděpodobnou.

CÍLE A ČASOVÁ OS

Výzkumníci v srpnu 2025 zjistili, že kampaň láká především uživatele hledající oblíbené nástroje pro produktivitu a komunikaci. Mezi příklady vyhledávacích cílů používaných k nalákání obětí patří:

DeepL Překlad

Google Chrome

Signál

Telegram

WhatsApp

Kancelář WPS

ZAPOJENÝCH RODINY MALWARU

Útoky vedly k nasazení variant souvisejících s Gh0st RAT, zejména HiddenGh0st a Winos (také známý jako ValleyRAT). Winos byl přičítán skupině kybernetické kriminality sledované pod mnoha aliasy – Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 a Void Arachne – a předpokládá se, že je aktivní nejméně od roku 2022.

DODAVATELSKÝ ŘETĚZEC – technické selhání

Malý soubor JavaScript s označením nice.js řídí vícestupňové doručování. Skript opakovaně načítá odpovědi JSON: počáteční odkaz ke stažení vrací JSON obsahující sekundární odkaz, druhý odkaz vrací další datovou část JSON, která nakonec přesměruje na URL adresu škodlivého instalačního programu. Toto vrstvené přesměrování jednak zatemňuje umístění konečné datové části a jednak komplikuje jednoduchou detekci.

Uvnitř instalačního programu:

Škodlivá knihovna DLL s názvem EnumW.dll provádí sadu antianalytických kontrol a poté extrahuje druhou knihovnu DLL (vstdlib.dll). Extrakce a chování knihovny vstdlib.dll jsou navrženy tak, aby zvyšovaly využití paměti a zpomalovaly analytické nástroje, což brání automatické nebo manuální kontrole.

Druhá knihovna DLL rozbalí a spustí hlavní datovou část až po ověření přítomnosti konkrétního antivirového produktu v systému. Pokud je tato antivirová komponenta detekována, malware použije únos COM knihovny TypeLib k zajištění perzistence a nakonec spustí binární soubor systému Windows s názvem insalivation.exe.

Pokud antivir chybí, malware místo toho vytvoří zástupce systému Windows, který odkazuje na stejný spustitelný soubor, aby dosáhl trvalosti.

FINÁLNÍ UŽITOČNÁ ÚDAJE: SIDELOADING AIDE.dll

Konečným cílem je načíst knihovnu DLL s názvem AIDE.dll. Jakmile je knihovna AIDE.dll aktivní, implementuje tři hlavní operační funkce:

• Velení a řízení (C2): šifrovaná komunikace se vzdáleným serverem pro výměnu pokynů a dat.
• Prezenční signál: pravidelný sběr informací o systému a oběti, včetně vyčíslování spuštěných procesů a jejich porovnávání s pevně zakódovaným seznamem bezpečnostních produktů.
• Monitor: potvrzení vytrvalosti, sledování aktivity uživatelů a pravidelné odesílání signálů zpět do velitelství C2.

DALŠÍ MOŽNOSTI A PLUGINY

Modul C2 podporuje vzdálené příkazy pro načtení dalších pluginů. Mezi známé funkce patří keylogging, zachycení dat ze schránky, monitorování obrazovky a nástroje určené k únosu kryptoměnových peněženek – konkrétně peněženek obsahujících aktiva Ethereum a Tether. Několik pluginů pozorovaných v těchto incidentech se jeví jako znovu použité komponenty z frameworku Winos a jsou schopny nepřetržitého sledování obrazovky.

PROČ JE INFEKCI TĚŽKÉ ZJISTIT

Protože instalační program obsahuje legitimní aplikaci spolu se škodlivým obsahem, uživatel stahující program, který vypadá jako důvěryhodný, si nemusí ničeho zvláštního všimnout. Útočníci si jako zbraň zvolili i vysoce postavené výsledky vyhledávání, což zvyšuje pravděpodobnost, že si napadené balíčky nainstalují uživatelé s dobrými úmysly.

DOPORUČENÍ K OBRANĚ

• Před stažením softwaru si vždy pečlivě ověřte názvy domén; hledejte jemné záměny znaků a neshodné adresy URL.
• Upřednostňujte oficiální stránky dodavatelů nebo ověřené obchody s aplikacemi před stahováním z výsledků vyhledávání.
• Používejte ochranu koncových bodů, která kontroluje chování instalačního programu (nejen podpisy souborů) a povoluje ochranu před bočním načítáním DLL a únosem COM.
• Sledujte neobvyklé využití paměti procesy a neočekávané chování při rozbalování/extrakci z instalačních komponent.

ZÁVĚR

Tato kampaň ukazuje, jak útočníci kombinují manipulaci se SEO, domény podobné těmto systémům, vícestupňové přesměrování a sofistikované obcházení založené na knihovnách DLL, aby čínsky mluvícím uživatelům protlačili malware z rodiny Gh0st-RAT. Kombinace legitimních binárních souborů a skrytých dat činí ostražitost nezbytnou: ověřujte zdroje, zkoumejte domény a používejte obranu, která sledují chování za běhu i reputaci souborů.