Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara Winos RAT pahavara

Winos RAT pahavara

Aastaks Mezo aastal Pahavara, Kaughaldustööriistad
Tõlgi:

Hiina keelt kõnelevatele kasutajatele on suunatud sihipärane SEO-mürgituskampaania, mis asendab päris tarkvara allalaadimislehed veenvate võltsingutega. Ründajad lükkasid pahatahtlikke installijaid manipuleeritud otsingutulemuste ja peaaegu identsete domeenide kaudu, muutes ohvritele lihtsaks hankida tarkvara, mis näeb välja nagu legitiimne, kuid tegelikult kasutab kaugjuurdepääsuga pahavara.

KUIDAS KAMPANII TOIMIB

Ohtlikud tegelased suurendasid otsingutulemustes võltsitud lehtede nähtavust, kuritarvitades SEO pluginaid ja registreerides sarnaseid domeene, mis visuaalselt matkivad seaduslikke müüjaid. Nad kasutasid peeneid tähemärkide vahetusi ja sujuvat hiina keele teksti, et inimesi klõpsama meelitada. Kui ohver jõuab troojalase allalaadimislehele, sisaldab installipakett nii oodatud rakendust kui ka peidetud pahatahtlikku komponenti. See kombinatsioon muudab juhuslike kasutajate poolt tuvastamise ebatõenäoliseks.

EESMÄRGID JA AJAKAVA

2025. aasta augustis avastasid teadlased, et kampaania meelitab peamiselt kasutajaid, kes otsivad populaarseid tootlikkuse ja suhtluse tööriistu. Ohvrite meelitamiseks kasutatavate otsingusihtmärkide näideteks on:

DeepL Translate

Google Chrome

Signaal

Telegramm

WhatsApp

WPS-i kontor

SEOTUD PAHAVARA PEREKONNAD

Rünnakud viisid Gh0st RAT-iga seotud variantide, eelkõige HiddenGh0sti ja Winose (tuntud ka kui ValleyRAT), kasutuselevõtuni. Winost on seostatud küberkuritegevuse klastriga, mida jälgitakse paljude varjunimede all – Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 ja Void Arachne – ning arvatakse, et see on olnud aktiivne vähemalt alates 2022. aastast.

TARNEAHEL — tehniline rike

Väike JavaScripti fail nimega nice.js juhib mitmeastmelist edastamist. Skript hangib korduvalt JSON-vastuseid: esialgne allalaadimislink tagastab JSON-i, mis sisaldab teist linki, see teine link tagastab teise JSON-faili, mis lõpuks suunab pahatahtliku installija URL-ile. See kihiline ümbersuunamine hägustab nii lõpliku faili asukohta kui ka raskendab lihtsat tuvastamist.

Installeri sees:

Pahatahtlik DLL nimega EnumW.dll teostab rea analüüsivastaseid kontrolle ja seejärel ekstraheerib teise DLL-i (vstdlib.dll). Vstdlib.dll ekstraheerimine ja käitumine on loodud mälukasutuse suurendamiseks ja analüüsitööriistade aeglustamiseks, takistades automaatset või käsitsi kontrollimist.

Teine DLL pakib lahti ja käivitab peamise faili alles pärast seda, kui on süsteemis otsinud konkreetse viirusetõrjeprogrammi olemasolu. Kui see viirusetõrjekomponent tuvastatakse, kasutab pahavara TypeLib COM-i kaaperdamist, et luua püsivus ja lõpuks käivitada Windowsi binaarfail nimega insalivation.exe.

Kui viirusetõrje puudub, loob pahavara selle asemel Windowsi otsetee, mis osutab püsivuse saavutamiseks samale käivitatavale failile.

LÕPLIK KOORMUS: SIDELOADING AIDE.dll

Lõppeesmärk on külglaadida DLL-fail nimega AIDE.dll. Kui see on aktiivne, on AIDE.dll-il kolm peamist töövõimet:

  • Käsklus ja kontroll (C2): krüpteeritud side kaugserveriga juhiste ja andmevahetuse jaoks.
  • Südamelöök: süsteemi ja ohvri teabe perioodiline kogumine, sealhulgas töötavate protsesside loetlemine ja nende kontrollimine turvatoodete kõvakodeeritud loendi alusel.
  • Jälgimine: püsivuse kinnitus, kasutajategevuse jälgimine ja regulaarne signaalide saatmine C2-le.

LISAVÕIMALUSED JA PLUUGIINID

C2 moodul toetab kaugkäsklusi täiendavate pluginate hankimiseks. Tuntud võimaluste hulka kuuluvad klahvilogimine, lõikelauale jäädvustamine, ekraani jälgimine ja tööriistad, mis on loodud krüptovaluuta rahakottide – täpsemalt Ethereumi ja Tetheri varasid hoidvate rahakottide – kaaperdamiseks. Mitmed nendes intsidentides täheldatud pluginad näivad olevat Winos raamistiku taaskasutatud komponendid ja on võimelised pidevalt ekraani jälgima.

MIKS ON NAFEKTSIOONI RASKE MÄRGATA

Kuna installija komplekteerib pahatahtliku sisuga ka legitiimse rakenduse, ei pruugi usaldusväärse programmi laadiv kasutaja midagi valesti märgata. Ründajad tegid relvaks isegi kõrge asetusega otsingutulemused, mis suurendab võimalust, et heasoovlikud kasutajad installivad ohustatud paketid.

KAITSE SOOVITUSED

  • Enne tarkvara allalaadimist kontrollige alati domeeninimesid hoolikalt; otsige peeneid tähemärkide asendusi ja mittevastavaid URL-e.
  • Eelista ametlike müüjate saite või kontrollitud rakenduste poode otsingutulemustest allalaadimiste asemel.
  • Kasutage lõpp-punkti kaitset, mis kontrollib installija käitumist (mitte ainult failiallkirju) ja lubage kaitse DLL-i külglaadimise ja COM-kaaperdamise eest.
  • Jälgige ebatavalist protsessimälu kasutust ja ootamatut lahtipakkimise/ekstraktimise käitumist installija komponentidest.

JÄRELDUS

See kampaania näitab, kuidas ründajad kombineerivad SEO manipuleerimist, sarnaseid domeene, mitmeastmelist ümbersuunamist ja keerukat DLL-põhist rünnakute vältimist, et levitada Gh0st-RAT-perekonna pahavara hiina keelt kõnelevatele kasutajatele. Legitiimsete binaarfailide ja peidetud koormuste segu muudab valvsuse hädavajalikuks: kontrollige allikaid, uurige domeene ja kasutage kaitsemeetmeid, mis jälgivad nii käitusaja käitumist kui ka failide mainet.

Trendikas

Enim vaadatud

Laadimine...