Rabattilbud med flere licenser
Trusseldatabase Malware Winos RAT-malware

Winos RAT-malware

Med Mezo i Malware, Fjernadministrationsværktøjer
Oversæt til:

Kinesisksprogede brugere er blevet mål for en fokuseret SEO-forgiftningskampagne, der erstatter ægte softwaredownloadsider med overbevisende forfalskninger. Angribere pressede ondsindede installatører gennem manipulerede søgerangeringer og næsten identiske domæner, hvilket gjorde det nemt for ofrene at få fat i det, der ligner legitim software, men som i virkeligheden anvender malware med fjernadgang.

SÅDAN FUNGERER KAMPAGNEN

Trusselaktørerne øgede forfalskede sider i søgeresultaterne ved at misbruge SEO-plugins og registrere lignende domæner, der visuelt efterligner legitime leverandører. De benyttede sig af subtile tegnbytter og flydende kinesisk tekst for at narre folk til at klikke. Når et offer lander på en trojanerbaseret downloadside, indeholder installationspakken både den forventede applikation og en skjult skadelig komponent. Denne blanding gør det usandsynligt, at den bliver opdaget af almindelige brugere.

MÅL OG TIDSPLAN

I august 2025 opdagede forskere, at kampagnen primært lokker brugere, der søger efter populære produktivitets- og kommunikationsværktøjer. Eksempler på søgemål, der bruges til at lokke ofre, inkluderer:

DeepL Oversæt

Google Chrome

Signal

Telegram

WhatsApp

WPS-kontor

MALWAREFAMILIER INVOLVERET

Angrebene førte til udrulningen af varianter relateret til Gh0st RAT, især HiddenGh0st og Winos (også kendt som ValleyRAT). Winos er blevet tilskrevet en cyberkriminalitetsklynge, der spores under mange aliaser — Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 og Void Arachne — og menes at have været aktiv siden mindst 2022.

LEVERINGSKÆDEN — teknisk oversigt

En lille JavaScript-fil med navnet nice.js orkestrerer flertrinsleveringen. Scriptet henter gentagne gange JSON-svar: et indledende downloadlink returnerer JSON, der indeholder et sekundært link, det andet link returnerer en anden JSON-nyttelast, som til sidst omdirigerer til den ondsindede installations-URL. Denne lagdelte omdirigering tilslører både den endelige nyttelastplacering og komplicerer simpel detektion.

Inde i installationsprogrammet:

En ondsindet DLL ved navn EnumW.dll udfører et sæt anti-analysekontroller og udtrækker derefter en anden DLL (vstdlib.dll). Udtrækningen og opførslen af vstdlib.dll er designet til at oppuste hukommelsesforbruget og forsinke analyseværktøjer, hvilket hæmmer automatiseret eller manuel inspektion.

Den anden DLL udpakker og starter først hovednyttelasten efter at have undersøgt systemet for tilstedeværelsen af et specifikt antivirusprodukt. Hvis denne antiviruskomponent registreres, bruger malwaren TypeLib COM-kapring til at etablere persistens og til sidst udføre en Windows-binær fil med navnet insalivation.exe.

Hvis antivirusprogrammet mangler, opretter malwaren i stedet en Windows-genvej, der peger på den samme eksekverbare fil for at opnå vedvarende virkning.

ENDELIG NYTTELAST: SIDELOADING AIDE.dll

Det endelige mål er at sideloade en DLL kaldet AIDE.dll. Når den er aktiv, implementerer AIDE.dll tre primære operationelle funktioner:

  • Kommando og kontrol (C2): krypteret kommunikation med en fjernserver til instruktioner og dataudveksling.
  • Hjerteslag: periodisk indsamling af system- og offeroplysninger, herunder opregning af kørende processer og kontrol af dem mod en hardkodet liste over sikkerhedsprodukter.
  • Overvågning: bekræftelse af persistens, sporing af brugeraktivitet og regelmæssig beaconing tilbage til C2.

YDERLIGERE FUNKTIONER OG PLUGINS

C2-modulet understøtter fjernkommandoer til at hente ekstra plugins. Kendte funktioner inkluderer keylogging, clipboard-optagelse, skærmovervågning og værktøjer designet til at kapre kryptovaluta-wallets – specifikt wallets, der indeholder Ethereum- og Tether-aktiver. Flere plugins, der er observeret i disse hændelser, ser ud til at være genbrugte komponenter fra Winos-frameworket og er i stand til kontinuerlig skærmovervågning.

HVORFOR INFEKTIONEN ER SVÆR AT OPFÅ

Fordi installationsprogrammet samler den legitime applikation sammen med den skadelige nyttelast, vil en bruger, der downloader noget, der ligner et betroet program, muligvis aldrig bemærke noget galt. Angriberne brugte selv højt rangerende søgeresultater som våben, hvilket øger chancen for, at velmenende brugere installerer de kompromitterede pakker.

FORSVARSANBEFALINGER

  • Bekræft altid domænenavne omhyggeligt, før du downloader software; vær opmærksom på diskrete tegnudskiftninger og uoverensstemmelser mellem URL'er.
  • Foretræk officielle leverandørsider eller verificerede appbutikker frem for downloads fra søgeresultater.
  • Brug endpoint-beskyttelse, der inspicerer installationsprogrammets adfærd (ikke kun filsignaturer) og aktiverer beskyttelse mod DLL-sideloading og COM-kapring.
  • Overvåg for usædvanligt proceshukommelsesforbrug og uventet udpaknings-/udpakningsadfærd fra installationsprogrammets komponenter.

    • KONKLUSION

    Denne kampagne viser, hvordan angribere kombinerer SEO-manipulation, dobbeltdomæner, omdirigering i flere trin og sofistikeret DLL-baseret omgåelse for at sende malware i Gh0st-RAT-familien til kinesisktalende brugere. Blandingen af legitime binære filer og skjulte nyttelast gør årvågenhed afgørende: verificer kilder, gransk domæner og brug forsvar, der ser på runtime-adfærd samt filomdømme.

    Trending

    Mest sete

    Indlæser...