Κακόβουλο λογισμικό Winos RAT
Οι χρήστες κινεζικής γλώσσας έχουν γίνει στόχος μιας στοχευμένης εκστρατείας δηλητηρίασης SEO που αντικαθιστά τις πραγματικές σελίδες λήψης λογισμικού με πειστικές ψεύτικες. Οι επιτιθέμενοι ώθησαν κακόβουλους εγκαταστάτες μέσω χειραγωγημένων κατατάξεων αναζήτησης και σχεδόν πανομοιότυπων τομέων, διευκολύνοντας τα θύματα να αποκτήσουν πρόσβαση σε αυτό που μοιάζει με νόμιμο λογισμικό, αλλά στην πραγματικότητα αναπτύσσει κακόβουλο λογισμικό απομακρυσμένης πρόσβασης.
Πίνακας περιεχομένων
ΠΩΣ ΛΕΙΤΟΥΡΓΕΙ Η ΚΑΜΠΑΝΙΑ
Οι απειλητικοί παράγοντες αύξησαν τις πλαστογραφημένες σελίδες στα αποτελέσματα αναζήτησης καταχρώμενοι πρόσθετα SEO και καταχωρώντας παρόμοιους τομείς που μιμούνταν οπτικά νόμιμους προμηθευτές. Βασίζονταν σε ανεπαίσθητες ανταλλαγές χαρακτήρων και άπταιστη κινεζική γραφή για να ξεγελάσουν τους χρήστες ώστε να κάνουν κλικ. Μόλις ένα θύμα βρεθεί σε μια σελίδα λήψης που έχει μολυνθεί με trojan, το πακέτο εγκατάστασης περιέχει τόσο την αναμενόμενη εφαρμογή όσο και ένα κρυφό κακόβουλο στοιχείο. Αυτός ο συνδυασμός καθιστά απίθανη την ανίχνευση από περιστασιακούς χρήστες.
ΣΤΟΧΟΙ ΚΑΙ ΧΡΟΝΟΔΙΑΓΡΑΜΜΑ
Τον Αύγουστο του 2025, ερευνητές ανακάλυψαν ότι η καμπάνια προσελκύει κυρίως χρήστες που αναζητούν δημοφιλή εργαλεία παραγωγικότητας και επικοινωνίας. Παραδείγματα στόχων αναζήτησης που χρησιμοποιούνται για να δελεάσουν τα θύματα περιλαμβάνουν:
Μετάφραση DeepL
Google Chrome
Σύνθημα
Τηλεγράφημα
Γραφείο WPS
ΕΜΠΛΕΚΟΜΕΝΕΣ ΟΙΚΟΓΕΝΕΙΕΣ ΚΑΚΟΒΟΥΛΟΥ ΛΟΓΙΣΜΙΚΟΥ
Οι επιθέσεις οδήγησαν στην ανάπτυξη παραλλαγών που σχετίζονται με το Gh0st RAT, κυρίως το HiddenGh0st και το Winos (γνωστό και ως ValleyRAT). Το Winos έχει αποδοθεί σε ένα σύμπλεγμα κυβερνοεγκλημάτων που παρακολουθείται με πολλά ψευδώνυμα — Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 και Void Arachne — και πιστεύεται ότι είναι ενεργό τουλάχιστον από το 2022.
Η ΑΛΥΣΙΔΑ ΠΑΡΑΔΟΣΗΣ — τεχνική ανάλυση
Ένα μικρό αρχείο JavaScript με την ετικέτα nice.js ενορχηστρώνει την παράδοση πολλαπλών βημάτων. Το σενάριο ανακτά επανειλημμένα απαντήσεις JSON: ένας αρχικός σύνδεσμος λήψης επιστρέφει JSON που περιέχει έναν δευτερεύοντα σύνδεσμο, αυτός ο δεύτερος σύνδεσμος επιστρέφει ένα άλλο ωφέλιμο φορτίο JSON, το οποίο τελικά ανακατευθύνει στη διεύθυνση URL του κακόβουλου προγράμματος εγκατάστασης. Αυτή η ανακατεύθυνση σε επίπεδα αποκρύπτει την τελική θέση του ωφέλιμου φορτίου και περιπλέκει την απλή ανίχνευση.
Μέσα στο πρόγραμμα εγκατάστασης:
Ένα κακόβουλο αρχείο DLL με το όνομα EnumW.dll εκτελεί ένα σύνολο ελέγχων κατά της ανάλυσης και, στη συνέχεια, εξάγει ένα δεύτερο αρχείο DLL (vstdlib.dll). Η εξαγωγή και η συμπεριφορά του vstdlib.dll έχουν σχεδιαστεί για να αυξάνουν τη χρήση μνήμης και να επιβραδύνουν τα εργαλεία ανάλυσης, παρεμποδίζοντας την αυτοματοποιημένη ή μη αυτόματη επιθεώρηση.
Το δεύτερο αρχείο DLL αποσυμπιέζει και εκκινεί το κύριο φορτίο μόνο αφού ελέγξει το σύστημα για την παρουσία ενός συγκεκριμένου προϊόντος προστασίας από ιούς. Εάν εντοπιστεί αυτό το στοιχείο AV, το κακόβουλο λογισμικό χρησιμοποιεί την αεροπειρατεία COM του TypeLib για να δημιουργήσει persistence και τελικά να εκτελέσει ένα δυαδικό αρχείο των Windows με το όνομα insalivation.exe.
Εάν το antivirus απουσιάζει, το κακόβουλο λογισμικό δημιουργεί μια συντόμευση των Windows που οδηγεί στο ίδιο εκτελέσιμο αρχείο για να επιτύχει διατήρηση.
ΤΕΛΙΚΟ ΦΟΡΤΙΟ: SIDELoadING AIDE.dll
Ο απώτερος στόχος είναι η παράπλευρη φόρτωση ενός DLL που ονομάζεται AIDE.dll. Μόλις ενεργοποιηθεί, το AIDE.dll εφαρμόζει τρεις κύριες λειτουργικές δυνατότητες:
- Command-and-Control (C2): κρυπτογραφημένες επικοινωνίες με απομακρυσμένο διακομιστή για ανταλλαγή οδηγιών και δεδομένων.
- Heartbeat: περιοδική συλλογή πληροφοριών συστήματος και θυμάτων, συμπεριλαμβανομένης της απαρίθμησης των διεργασιών που εκτελούνται και του ελέγχου τους σε σχέση με μια κωδικοποιημένη λίστα προϊόντων ασφαλείας.
- Παρακολούθηση: επιβεβαίωση της επιμονής, παρακολούθηση της δραστηριότητας του χρήστη και τακτική αποστολή beacon πίσω στο C2.
ΕΠΙΠΛΕΟΝ ΔΥΝΑΤΟΤΗΤΕΣ ΚΑΙ ΠΡΟΣΘΗΚΕΣ
Η ενότητα C2 υποστηρίζει απομακρυσμένες εντολές για την ανάκτηση επιπλέον προσθηκών. Γνωστές δυνατότητες περιλαμβάνουν την καταγραφή πλήκτρων, την καταγραφή στο πρόχειρο, την παρακολούθηση οθόνης και εργαλεία που έχουν σχεδιαστεί για την παραβίαση πορτοφολιών κρυπτονομισμάτων — συγκεκριμένα πορτοφολιών που περιέχουν περιουσιακά στοιχεία Ethereum και Tether. Αρκετά πρόσθετα που παρατηρήθηκαν σε αυτά τα περιστατικά φαίνεται να είναι επαναχρησιμοποιούμενα στοιχεία από το πλαίσιο Winos και είναι ικανά για συνεχή παρακολούθηση οθόνης.
ΓΙΑΤΙ Η ΛΟΙΜΩΞΗ ΕΙΝΑΙ ΔΥΣΚΟΛΟ ΝΑ ΕΝΤΟΠΙΣΤΕΙ
Επειδή το πρόγραμμα εγκατάστασης ενσωματώνει την νόμιμη εφαρμογή μαζί με το κακόβουλο ωφέλιμο φορτίο, ένας χρήστης που κατεβάζει κάτι που μοιάζει με αξιόπιστο πρόγραμμα μπορεί να μην παρατηρήσει ποτέ κάτι κακόβουλο. Οι εισβολείς χρησιμοποίησαν ως όπλο ακόμη και αποτελέσματα αναζήτησης υψηλής κατάταξης, γεγονός που αυξάνει την πιθανότητα οι καλοπροαίρετοι χρήστες να εγκαταστήσουν τα παραβιασμένα πακέτα.
ΣΥΣΤΑΣΕΙΣ ΑΜΥΝΑΣ
- Να επαληθεύετε πάντα προσεκτικά τα ονόματα domain πριν από τη λήψη λογισμικού. Αναζητήστε ανεπαίσθητες αντικαταστάσεις χαρακτήρων και αναντιστοιχίες URL.
- Προτιμήστε επίσημες ιστοσελίδες προμηθευτών ή επαληθευμένα καταστήματα εφαρμογών αντί για λήψεις από αποτελέσματα αναζήτησης.
- Χρησιμοποιήστε προστασία τελικού σημείου που ελέγχει τη συμπεριφορά του προγράμματος εγκατάστασης (όχι μόνο τις υπογραφές αρχείων) και ενεργοποιήστε την προστασία από την παράπλευρη φόρτωση DLL και την αεροπειρατεία COM.
ΣΥΝΑΨΗ
Αυτή η καμπάνια δείχνει πώς οι εισβολείς συνδυάζουν χειραγώγηση SEO, παρόμοια domains, ανακατεύθυνση πολλαπλών σταδίων και εξελιγμένη αποφυγή που βασίζεται σε DLL για να προωθήσουν το κακόβουλο λογισμικό της οικογένειας Gh0st-RAT σε κινέζους χρήστες. Ο συνδυασμός νόμιμων δυαδικών αρχείων και κρυφών ωφέλιμων φορτίων καθιστά απαραίτητη την επαγρύπνηση: επαλήθευση πηγών, έλεγχος domains και χρήση αμυντικών μέσων που εξετάζουν τη συμπεριφορά κατά τον χρόνο εκτέλεσης καθώς και τη φήμη των αρχείων.
