Winos RAT -haittaohjelma
Kiinankielisiin käyttäjiin on kohdistettu hakukoneoptimointiin tähtäävä kampanja, jossa aidot ohjelmistojen lataussivut korvataan vakuuttavilla väärennöksillä. Hyökkääjät ohjasivat haitallisia asennusohjelmia manipuloitujen hakutulosten ja lähes identtisten verkkotunnusten läpi, mikä helpotti uhrien hankkia ohjelmistoja, jotka näyttävät laillisilta, mutta todellisuudessa käyttävät etäkäyttöhaittaohjelmia.
Sisällysluettelo
MITEN KAMPANJA TOIMII
Hakukoneoptimoijat tehostivat väärennettyjen sivujen näkyvyyttä hakutuloksissa väärinkäyttämällä hakukoneoptimointilaajennuksia ja rekisteröimällä kaksoisolentoverkkotunnuksia, jotka matkivat visuaalisesti laillisia toimittajia. He luottivat hienovaraisiin merkkienvaihtoihin ja sujuvaan kiinan kielen tekstiin huijatakseen ihmisiä napsauttamaan sivua. Kun uhri päätyy troijalaisella lataussivulla olevalle sivulle, asennuspaketti sisältää sekä odotetun sovelluksen että piilotetun haitallisen komponentin. Tämä yhdistelmä tekee sivun havaitsemisen satunnaisten käyttäjien toimesta epätodennäköiseksi.
TAVOITTEET JA AIKATAULU
Tutkijat havaitsivat elokuussa 2025, että kampanja houkuttelee ensisijaisesti käyttäjiä, jotka etsivät suosittuja tuottavuus- ja viestintätyökaluja. Esimerkkejä uhrien houkuttelemiseen käytetyistä hakukohteista ovat:
DeepL-kääntäjä
Google Chrome
Signaali
Sähke
WPS-toimisto
MUKAAN LIITTYVÄT HAITTAOHJELMAPROSEHDET
Hyökkäykset johtivat Gh0st RAT -hyökkäykseen liittyvien varianttien käyttöönottoon, erityisesti HiddenGh0st ja Winos (tunnetaan myös nimellä ValleyRAT). Winos on liitetty kyberrikollisuusryppäeseen, jota seurataan useilla salanimillä – Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 ja Void Arachne – ja sen uskotaan olleen aktiivinen ainakin vuodesta 2022 lähtien.
TOIMITUSKETJU — tekninen erittely
Pieni JavaScript-tiedosto nimeltä nice.js koordinoi monivaiheista toimitusta. Skripti hakee toistuvasti JSON-vastauksia: alkuperäinen latauslinkki palauttaa JSON-tiedoston, joka sisältää toissijaisen linkin, ja tämä toinen linkki palauttaa toisen JSON-hyötykuorman, joka lopulta ohjaa haitallisen asennusohjelman URL-osoitteeseen. Tämä kerrostettu uudelleenohjaus sekä hämärtää lopullisen hyötykuorman sijainnin että vaikeuttaa yksinkertaista havaitsemista.
Asennusohjelman sisällä:
Haitallinen EnumW.dll-niminen DLL-tiedosto suorittaa sarjan analyysien estotarkistuksia ja purkaa sitten toisen DLL-tiedoston (vstdlib.dll). Vstdlib.dll-tiedoston purkaminen ja toiminta on suunniteltu lisäämään muistin käyttöä ja hidastamaan analyysityökaluja, mikä haittaa automaattista tai manuaalista tarkastusta.
Toinen DLL purkaa ja käynnistää päähyötytiedoston vasta sen jälkeen, kun se on tarkistanut järjestelmän tietyn virustorjuntaohjelman läsnäolon. Jos kyseinen virustorjuntakomponentti havaitaan, haittaohjelma käyttää TypeLib COM -kaappausta pysyvyyden ylläpitämiseksi ja lopulta suorittaa Windows-binääritiedoston nimeltä insalivation.exe.
Jos virustorjuntaohjelmaa ei ole, haittaohjelma luo sen sijaan Windows-pikakuvakkeen, joka osoittaa samaan suoritettavaan tiedostoon pysyvyyden säilyttämiseksi.
LOPULLINEN HYÖTYKUORMA: SIDELOAding AIDE.dll
Perimmäisenä tavoitteena on sivulataa AIDE.dll-niminen DLL. Kun AIDE.dll on aktiivinen, sillä on kolme pääasiallista toiminnallista ominaisuutta:
- Komento- ja hallintajärjestelmä (C2): salattu viestintä etäpalvelimen kanssa ohjeita ja tiedonvaihtoa varten.
- Sydämenlyönti: järjestelmä- ja uhritietojen säännöllinen kerääminen, mukaan lukien käynnissä olevien prosessien luettelointi ja niiden tarkistaminen kovakoodattua tietoturvatuotteiden luetteloa vasten.
- Valvonta: pysyvyyden vahvistus, käyttäjätoiminnan seuranta ja säännöllinen lähettäminen takaisin C2:lle.
LISÄOMINAISUUDET JA LISÄOSAT
C2-moduuli tukee etäkomentoja lisälaajennusten hakemiseksi. Tunnettuja ominaisuuksia ovat näppäinpainallusten tallentaminen, leikepöydän kaappaaminen, näytön valvonta ja työkalut, jotka on suunniteltu kryptovaluuttalompakoiden – erityisesti Ethereum- ja Tether-varoja sisältävien lompakoiden – kaappaamiseen. Useat näissä tapauksissa havaitut laajennukset näyttävät olevan Winos-kehyksen uudelleenkäytettyjä komponentteja ja kykenevät jatkuvaan näytön valvontaan.
MIKSI INFEKTIO ON VAIKEA HAVAITA
Koska asennusohjelma niputtaa laillisen sovelluksen haitallisen hyötykuorman joukkoon, luotettavalta vaikuttavan ohjelman lataava käyttäjä ei välttämättä huomaa mitään vikaa. Hyökkääjät aseistivat jopa korkealla sijoittuvia hakutuloksia, mikä lisää mahdollisuutta, että hyvää tarkoittavat käyttäjät asentavat vaarantuneet paketit.
PUOLUSTUSSUOSITUKSET
- Tarkista aina verkkotunnukset huolellisesti ennen ohjelmiston lataamista; etsi hienovaraisia merkkien korvauksia ja yhteensopimattomia URL-osoitteita.
- Suosi virallisten myyjien sivustoja tai varmennettuja sovelluskauppoja hakutulosten latausten sijaan.
- Käytä päätepisteiden suojausta, joka tarkastaa asentajan toiminnan (ei vain tiedostojen allekirjoituksia) ja ottaa käyttöön suojauksen DLL-sivulataukselta ja COM-kaappauksilta.
- Tarkkaile epätavallista prosessimuistin käyttöä ja odottamatonta purkamista/purkua asennusohjelman komponenteista.
JOHTOPÄÄTÖS
Tämä kampanja osoittaa, kuinka hyökkääjät yhdistävät hakukoneoptimointiin (SEO) liittyvää manipulointia, kaksoisolentoverkkotunnuksia, monivaiheista uudelleenohjausta ja hienostunutta DLL-pohjaista hyökkäysten välttelyä levittääkseen Gh0st-RAT-haittaohjelmaperheen kiinaa puhuville käyttäjille. Laillisten binääritiedostojen ja piilotettujen hyötykuormien yhdistelmä tekee valppaudesta välttämätöntä: tarkista lähteet, tutki verkkotunnuksia ja käytä puolustuskeinoja, jotka tarkastelevat sekä suorituksenaikaista toimintaa että tiedostojen mainetta.
