תוכנה זדונית Winos RAT

משתמשים דוברי סינית היו מטרה לקמפיין הרעלת SEO ממוקד המחליף דפי הורדת תוכנה אמיתיים בזיופים משכנעים. התוקפים דחפו מתקינים זדוניים דרך דירוגי חיפוש מניפולטיביים ודומיינים כמעט זהים, מה שמקל על הקורבנות לתפוס מה שנראה כמו תוכנה לגיטימית אך למעשה פורס תוכנה זדונית לגישה מרחוק.

איך הקמפיין עובד

גורמי האיום קידמו דפים מזויפים בתוצאות החיפוש על ידי שימוש לרעה בתוספי SEO ורישום דומיינים דומים המחקים ויזואלית ספקים לגיטימיים. הם הסתמכו על החלפות תווים עדינות וטקסט שוטף בסינית כדי להטעות אנשים ולגרום להם ללחוץ. ברגע שקורבן נוחת בדף הורדה מושפע מטירוס, חבילת ההתקנה מכילה גם את האפליקציה הצפויה וגם רכיב זדוני נסתר. שילוב זה הופך את הגילוי על ידי משתמשים מזדמנים לבלתי סביר.

מטרות וציר זמן

חוקרים גילו באוגוסט 2025 שהקמפיין מפתה בעיקר משתמשים המחפשים כלי פרודוקטיביות ותקשורת פופולריים. דוגמאות ליעדי חיפוש המשמשים לפיתיון קורבנות כוללות:

תרגום עמוק

גוגל כרום

אוֹת

מִברָק

וואטסאפ

משרד WPS

משפחות של תוכנות זדוניות מעורבות

המתקפות הובילו לפריסה של גרסאות הקשורות ל-Gh0st RAT, בעיקר HiddenGh0st ו-Winos (הידוע גם בשם ValleyRAT). Winos יוחס לאשכול פשעי סייבר שעוקב תחת כינויים רבים - Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 ו-Void Arachne - ומאמינים שהוא פעיל מאז לפחות 2022.

שרשרת המשלוחים - פירוט טכני

קובץ JavaScript קטן שכותרתו nice.js מתזמר את המסירה הרב-שלבית. הסקריפט מחזיר שוב ושוב תגובות JSON: קישור הורדה ראשוני מחזיר JSON המכיל קישור משני, קישור שני זה מחזיר מטען JSON נוסף, אשר לבסוף מפנה לכתובת האתר הזדונית של מתקין התוכנה. ניתוב מחדש שכבתי זה גם מטשטש את מיקום המטען הסופי וגם מסבך את הזיהוי הפשוט.

בתוך המתקין:

קובץ DLL זדוני בשם EnumW.dll מבצע סדרה של בדיקות אנטי-אנליזה ולאחר מכן מחלץ קובץ DLL שני (vstdlib.dll). החילוץ וההתנהגות של vstdlib.dll נועדו לנפח את ניצול הזיכרון ולהאט את כלי הניתוח, מה שיפגע בבדיקה אוטומטית או ידנית.

קובץ ה-DLL השני פורק ומפעיל את המטען הראשי רק לאחר בדיקת המערכת לאיתור נוכחות של מוצר אנטי-וירוס ספציפי. אם רכיב אנטי-וירוס זה מזוהה, התוכנה הזדונית משתמשת בחטיפת TypeLib COM כדי ליצור נוכחות ובסופו של דבר להפעיל קובץ בינארי של Windows בשם insalivation.exe.

אם האנטי-וירוס חסר, התוכנה הזדונית יוצרת קיצור דרך ל-Windows שמצביע על אותו קובץ הפעלה כדי להשיג שמירה על תקינות.

מטען סופי: טעינת צד של AIDE.dll

המטרה הסופית היא להעלות בצד קובץ DLL בשם AIDE.dll. לאחר הפעלתו, AIDE.dll מיישם שלוש יכולות תפעוליות עיקריות:

• פיקוד ובקרה (C2): תקשורת מוצפנת עם שרת מרוחק לצורך הוראות וחילופי נתונים.
• פעימות לב: איסוף תקופתי של מידע על המערכת והקורבנות, כולל ספירת תהליכים פועלים ובדיקתם מול רשימה מקודדת של מוצרי אבטחה.
• ניטור: אישור של התמדה, מעקב אחר פעילות המשתמש, והעברת אות קבועה חזרה ל-C2.

יכולות ותוספים נוספים

מודול ה-C2 תומך בפקודות מרחוק לאחזור תוספים נוספים. יכולות ידועות כוללות רישום מקשים, לכידת לוח כתיבה, ניטור מסך וכלים שנועדו לחטיפת ארנקי קריפטו - במיוחד ארנקים המחזיקים נכסי Ethereum ו-Tether. נראה כי מספר תוספים שנצפו באירועים אלה הם רכיבים שנעשה בהם שימוש חוזר ממסגרת Winos והם מסוגלים למעקב מסך רציף.

מדוע קשה לאתר את הזיהום

מכיוון שהמתקין מאגד את האפליקציה הלגיטימית לצד המטען הזדוני, משתמש שמוריד מה שנראה כתוכנית מהימנה עשוי לעולם לא להבחין בשום דבר לא תקין. התוקפים השתמשו אפילו בתוצאות חיפוש גבוהות, מה שמגדיל את הסיכוי שמשתמשים בעלי כוונות טובות יתקינו את החבילות שנפגעו.

המלצות הגנה

• יש לוודא תמיד שמות דומיין בקפידה לפני הורדת תוכנה; חפשו החלפות תווים עדינות וכתובות URL לא תואמות.
• העדיפו אתרים רשמיים של ספקים או חנויות אפליקציות מאומתות על פני הורדות מתוצאות חיפוש.
• השתמש בהגנה על נקודות קצה שבודקת את התנהגות המתקין (לא רק חתימות קבצים) והפעל הגנה מפני טעינה צדדית של קבצי DLL וחטיפת COM.

מַסְקָנָה

קמפיין זה מראה כיצד תוקפים משלבים מניפולציה של SEO, דומיינים דומים, הפניה מחדש רב-שלבית והתחמקות מתוחכמת מבוססת DLL כדי לדחוף תוכנות זדוניות ממשפחת Gh0st-RAT למשתמשים דוברי סינית. השילוב של קבצים בינאריים לגיטימיים ומטענים נסתרים הופך את הערנות לחיונית: אימות מקורות, בדיקת דומיינים ושימוש בהגנות שבוחנות את התנהגות זמן הריצה וכן את מוניטין הקובץ.