قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار بدافزار Winos RAT

بدافزار Winos RAT

تا Mezo در بدافزار, ابزارهای مدیریت از راه دور
ترجمه به:

کاربران چینی‌زبان هدف یک کمپین متمرکز مسموم‌سازی سئو قرار گرفته‌اند که صفحات دانلود نرم‌افزار واقعی را با صفحات جعلی متقاعدکننده جایگزین می‌کند. مهاجمان، نصب‌کننده‌های مخرب را از طریق رتبه‌بندی‌های جستجوی دستکاری‌شده و دامنه‌های تقریباً یکسان وارد می‌کنند و به قربانیان این امکان را می‌دهند که آنچه را که به نظر نرم‌افزار قانونی می‌رسد اما در واقع بدافزار دسترسی از راه دور را مستقر می‌کند، به دست آورند.

نحوه‌ی عملکرد کمپین

عوامل تهدید با سوءاستفاده از افزونه‌های سئو و ثبت دامنه‌های مشابه که از نظر بصری فروشندگان قانونی را تقلید می‌کنند، صفحات جعلی را در نتایج جستجو افزایش دادند. آن‌ها برای فریب دادن افراد جهت کلیک کردن، به تعویض ظریف کاراکترها و کپی روان چینی متکی بودند. هنگامی که قربانی به صفحه دانلود تروجان‌دار هدایت می‌شود، بسته نصب شامل برنامه مورد انتظار و یک جزء مخرب پنهان است. این ترکیب، تشخیص توسط کاربران عادی را بعید می‌کند.

اهداف و جدول زمانی

محققان در آگوست ۲۰۲۵ کشف کردند که این کمپین در درجه اول کاربرانی را که به دنبال ابزارهای محبوب بهره‌وری و ارتباطی هستند، فریب می‌دهد. نمونه‌هایی از اهداف جستجو که برای طعمه قرار دادن قربانیان استفاده می‌شود عبارتند از:

ترجمه عمیق

گوگل کروم

سیگنال

تلگرام

واتساپ

دفتر WPS

خانواده‌های بدافزار درگیر

این حملات منجر به استقرار گونه‌های مرتبط با Gh0st RAT، به ویژه HiddenGh0st و Winos (که با نام ValleyRAT نیز شناخته می‌شود) شد. Winos به یک خوشه جرایم سایبری نسبت داده شده است که با نام‌های مستعار زیادی ردیابی می‌شود - Silver Fox، SwimSnake، The Great Thief of Valley (Valley Thief)، UTG-Q-1000 و Void Arachne - و اعتقاد بر این است که حداقل از سال 2022 فعال بوده است.

زنجیره تحویل - نقص فنی

یک فایل جاوا اسکریپت کوچک با برچسب nice.js این تحویل چند مرحله‌ای را هماهنگ می‌کند. این اسکریپت بارها و بارها پاسخ‌های JSON را دریافت می‌کند: یک لینک دانلود اولیه JSON حاوی یک لینک ثانویه را برمی‌گرداند، آن لینک دوم یک فایل JSON دیگر را برمی‌گرداند که در نهایت به URL نصب‌کننده‌ی مخرب هدایت می‌شود. این تغییر مسیر لایه‌ای، هم محل فایل نهایی را مبهم می‌کند و هم تشخیص ساده را پیچیده می‌کند.

داخل نصب کننده:

یک DLL مخرب به نام EnumW.dll مجموعه‌ای از بررسی‌های ضد تجزیه و تحلیل را انجام می‌دهد و سپس DLL دوم (vstdlib.dll) را استخراج می‌کند. استخراج و رفتار vstdlib.dll به گونه‌ای طراحی شده است که استفاده از حافظه را افزایش داده و ابزارهای تجزیه و تحلیل را کند کند و مانع از بازرسی خودکار یا دستی شود.

DLL دوم تنها پس از بررسی سیستم برای وجود یک محصول آنتی‌ویروس خاص، از حالت فشرده خارج شده و فایل مخرب اصلی را اجرا می‌کند. اگر آن مؤلفه آنتی‌ویروس شناسایی شود، بدافزار از ربودن TypeLib COM برای ایجاد پایداری و در نهایت اجرای یک فایل باینری ویندوز به نام insalivation.exe استفاده می‌کند.

اگر آنتی‌ویروس وجود نداشته باشد، بدافزار برای ماندگاری، یک میانبر ویندوز ایجاد می‌کند که به همان فایل اجرایی اشاره دارد.

بار نهایی: بارگذاری جانبی AIDE.dll

هدف نهایی، بارگذاری جانبی یک DLL به نام AIDE.dll است. AIDE.dll پس از فعال شدن، سه قابلیت عملیاتی اصلی را پیاده‌سازی می‌کند:

  • فرماندهی و کنترل (C2): ارتباطات رمزگذاری شده با یک سرور از راه دور برای دستورالعمل‌ها و تبادل داده‌ها.
  • ضربان قلب: جمع‌آوری دوره‌ای اطلاعات سیستم و قربانی، شامل شمارش فرآیندهای در حال اجرا و بررسی آنها با فهرستی از محصولات امنیتی که به صورت کد ثابت تهیه شده‌اند.
  • مانیتور: تأیید پایداری، ردیابی فعالیت کاربر و ارسال منظم سیگنال به سرور C2.

قابلیت‌ها و افزونه‌های اضافی

ماژول C2 از دستورات از راه دور برای دریافت افزونه‌های اضافی پشتیبانی می‌کند. قابلیت‌های شناخته‌شده شامل ثبت کلیدها، ضبط کلیپ‌بورد، نظارت بر صفحه نمایش و ابزارهایی است که برای ربودن کیف پول‌های ارز دیجیتال - به‌ویژه کیف پول‌های حاوی دارایی‌های اتریوم و تتر - طراحی شده‌اند. به نظر می‌رسد چندین افزونه مشاهده‌شده در این حوادث، اجزای استفاده‌شده مجدد از چارچوب Winos هستند و قادر به نظارت مداوم بر صفحه نمایش هستند.

چرا تشخیص عفونت دشوار است؟

از آنجا که نصب‌کننده، برنامه‌ی قانونی را در کنار بار داده‌ی مخرب قرار می‌دهد، کاربری که برنامه‌ای به ظاهر قابل اعتماد را دانلود می‌کند، ممکن است هرگز متوجه هیچ چیز مشکوکی نشود. مهاجمان حتی از نتایج جستجوی با رتبه‌ی بالا نیز سوءاستفاده کرده‌اند، که این امر احتمال نصب بسته‌های آلوده توسط کاربران با نیت خیر را افزایش می‌دهد.

توصیه‌های دفاعی

  • همیشه قبل از دانلود نرم‌افزار، نام دامنه‌ها را با دقت بررسی کنید؛ به دنبال جایگزینی‌های ظریف کاراکترها و URLهای نامتناسب باشید.
  • سایت‌های رسمی فروشندگان یا فروشگاه‌های اپلیکیشن تأیید شده را به دانلود از نتایج جستجو ترجیح دهید.
  • از محافظت نقطه پایانی استفاده کنید که رفتار نصب‌کننده (نه فقط امضای فایل) را بررسی می‌کند و محافظت در برابر بارگذاری جانبی DLL و ربودن COM را فعال کنید.
  • بر میزان استفاده غیرمعمول از حافظه توسط فرآیندها و رفتار غیرمنتظره در هنگام باز کردن/استخراج اجزای نصب‌کننده نظارت کنید.

    • نتیجه‌گیری

    این کمپین نشان می‌دهد که چگونه مهاجمان با ترکیب دستکاری سئو، دامنه‌های مشابه، تغییر مسیر چند مرحله‌ای و گریز پیچیده مبتنی بر DLL، بدافزار خانواده Gh0st-RAT را به کاربران چینی‌زبان منتقل می‌کنند. ترکیب فایل‌های باینری قانونی و بارهای داده پنهان، هوشیاری را ضروری می‌کند: تأیید منابع، بررسی دقیق دامنه‌ها و استفاده از روش‌های دفاعی که علاوه بر اعتبار فایل، رفتار زمان اجرا را نیز بررسی می‌کنند.

    پرطرفدار

    پربیننده ترین

    بد افزار

    فیشینگ, هرزنامه
    35,315
    پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
    بارگذاری...