Winos RAT मैलवेयर

चीनी भाषा के उपयोगकर्ताओं को एक लक्षित एसईओ-विषाक्तता अभियान का निशाना बनाया गया है जो असली सॉफ़्टवेयर डाउनलोड पृष्ठों की जगह विश्वसनीय नकली पृष्ठ लगा देता है। हमलावरों ने खोज रैंकिंग और लगभग समान डोमेन के ज़रिए दुर्भावनापूर्ण इंस्टॉलर को धकेल दिया, जिससे पीड़ितों के लिए वैध सॉफ़्टवेयर जैसा दिखने वाला सॉफ़्टवेयर हासिल करना आसान हो गया, लेकिन वास्तव में रिमोट-एक्सेस मैलवेयर तैनात हो गया।

अभियान कैसे काम करता है

ख़तरा पैदा करने वाले लोग एसईओ प्लगइन्स का दुरुपयोग करके और वैध विक्रेताओं की नकल करने वाले समान दिखने वाले डोमेन पंजीकृत करके, खोज परिणामों में नकली पृष्ठों को बढ़ावा देते थे। लोगों को क्लिक करने के लिए गुमराह करने के लिए वे सूक्ष्म वर्ण-परिवर्तन और धाराप्रवाह चीनी भाषा का इस्तेमाल करते थे। जब कोई पीड़ित किसी ट्रोजन-संचालित डाउनलोड पृष्ठ पर पहुँचता है, तो इंस्टॉलेशन पैकेज में अपेक्षित एप्लिकेशन और एक छिपा हुआ दुर्भावनापूर्ण घटक, दोनों शामिल होते हैं। इस मिश्रण के कारण, सामान्य उपयोगकर्ताओं द्वारा इसका पता लगाना असंभव हो जाता है।

लक्ष्य और समयरेखा

अगस्त 2025 में शोधकर्ताओं ने पाया कि यह अभियान मुख्य रूप से लोकप्रिय उत्पादकता और संचार उपकरणों की खोज करने वाले उपयोगकर्ताओं को लुभाता है। शिकार बनाने के लिए इस्तेमाल किए जाने वाले खोज लक्ष्यों के उदाहरणों में शामिल हैं:

डीपएल ट्रांसलेट

गूगल क्रोम

संकेत

टेलीग्राम

WhatsApp

डब्ल्यूपीएस ऑफिस

मैलवेयर परिवार शामिल

इन हमलों के कारण Gh0st RAT से संबंधित वेरिएंट, विशेष रूप से HiddenGh0st और Winos (जिसे ValleyRAT भी कहा जाता है) का इस्तेमाल शुरू हो गया। Winos को कई उपनामों — सिल्वर फॉक्स, स्विमस्नेक, द ग्रेट थीफ ऑफ वैली (वैली थीफ), UTG-Q-1000, और वॉयड अर्चन — के तहत ट्रैक किए गए एक साइबर अपराध समूह से जोड़ा गया है और माना जाता है कि यह कम से कम 2022 से सक्रिय है।

डिलीवरी श्रृंखला - तकनीकी खराबी

nice.js नामक एक छोटी जावास्क्रिप्ट फ़ाइल बहु-चरणीय वितरण को व्यवस्थित करती है। स्क्रिप्ट बार-बार JSON प्रतिक्रियाएँ प्राप्त करती है: एक प्रारंभिक डाउनलोड लिंक एक द्वितीयक लिंक वाला JSON लौटाता है, वह दूसरा लिंक एक और JSON पेलोड लौटाता है, जो अंततः दुर्भावनापूर्ण इंस्टॉलर URL पर रीडायरेक्ट करता है। यह स्तरित पुनर्निर्देशन अंतिम पेलोड स्थान को अस्पष्ट करता है और सरल पहचान को जटिल बनाता है।

इंस्टॉलर के अंदर:

EnumW.dll नामक एक दुर्भावनापूर्ण DLL, विश्लेषण-विरोधी जाँचों का एक सेट निष्पादित करता है और फिर एक दूसरा DLL (vstdlib.dll) निकालता है। Vstdlib.dll का निष्कर्षण और व्यवहार मेमोरी उपयोग को बढ़ाने और विश्लेषण टूलिंग को धीमा करने के लिए डिज़ाइन किया गया है, जिससे स्वचालित या मैन्युअल निरीक्षण में बाधा उत्पन्न होती है।

दूसरा DLL मुख्य पेलोड को तभी अनपैक और लॉन्च करता है जब सिस्टम में किसी विशिष्ट एंटीवायरस उत्पाद की मौजूदगी की जाँच की जाती है। अगर वह AV घटक पाया जाता है, तो मैलवेयर दृढ़ता स्थापित करने के लिए TypeLib COM हाईजैकिंग का उपयोग करता है और अंततः insalivation.exe नामक एक विंडोज़ बाइनरी को निष्पादित करता है।

यदि एंटीवायरस अनुपस्थित है, तो मैलवेयर एक विंडोज़ शॉर्टकट बनाता है जो स्थायित्व प्राप्त करने के लिए उसी निष्पादनयोग्य की ओर संकेत करता है।

अंतिम पेलोड: SIDELoadING AIDE.dll

अंतिम लक्ष्य AIDE.dll नामक एक DLL को साइडलोड करना है। एक बार सक्रिय होने पर, AIDE.dll तीन प्राथमिक परिचालन क्षमताएँ कार्यान्वित करता है:

• कमांड-एंड-कंट्रोल (C2): निर्देशों और डेटा विनिमय के लिए दूरस्थ सर्वर के साथ एन्क्रिप्टेड संचार।
• हार्टबीट: सिस्टम और पीड़ित की जानकारी का आवधिक संग्रह, जिसमें चल रही प्रक्रियाओं की गणना करना और सुरक्षा उत्पादों की हार्ड-कोडेड सूची के विरुद्ध उनकी जांच करना शामिल है।
• मॉनिटर: दृढ़ता की पुष्टि, उपयोगकर्ता-गतिविधि ट्रैकिंग, और C2 पर नियमित बीकनिंग।

अतिरिक्त क्षमताएँ और प्लगइन्स

C2 मॉड्यूल अतिरिक्त प्लगइन्स लाने के लिए रिमोट कमांड का समर्थन करता है। ज्ञात क्षमताओं में कीलॉगिंग, क्लिपबोर्ड कैप्चर, स्क्रीन मॉनिटरिंग और क्रिप्टोकरेंसी वॉलेट्स को हाईजैक करने के लिए डिज़ाइन किए गए टूल शामिल हैं—खासकर एथेरियम और टीथर एसेट रखने वाले वॉलेट्स को। इन घटनाओं में देखे गए कई प्लगइन्स विनोस फ्रेमवर्क के पुन: उपयोग किए गए घटक प्रतीत होते हैं और निरंतर स्क्रीन निगरानी में सक्षम हैं।

संक्रमण का पता लगाना कठिन क्यों है?

चूँकि इंस्टॉलर वैध एप्लिकेशन को दुर्भावनापूर्ण पेलोड के साथ बंडल करता है, इसलिए एक विश्वसनीय प्रोग्राम जैसा दिखने वाला प्रोग्राम डाउनलोड करने वाला उपयोगकर्ता कभी भी किसी गड़बड़ी का पता नहीं लगा सकता। हमलावरों ने उच्च रैंकिंग वाले खोज परिणामों को भी हथियार बना लिया है, जिससे इस बात की संभावना बढ़ जाती है कि नेक इरादे वाले उपयोगकर्ता इन संक्रमित पैकेजों को इंस्टॉल कर लेंगे।

रक्षा सिफारिशें

• सॉफ्टवेयर डाउनलोड करने से पहले डोमेन नाम को हमेशा सावधानीपूर्वक सत्यापित करें; सूक्ष्म वर्ण प्रतिस्थापन और बेमेल URL पर ध्यान दें।
• खोज परिणामों से डाउनलोड करने के बजाय आधिकारिक विक्रेता साइटों या सत्यापित ऐप स्टोर को प्राथमिकता दें।
• एंडपॉइंट सुरक्षा का उपयोग करें जो इंस्टॉलर व्यवहार (केवल फ़ाइल हस्ताक्षर नहीं) का निरीक्षण करता है और DLL साइडलोडिंग और COM अपहरण के विरुद्ध सुरक्षा सक्षम करता है।
• इंस्टॉलर घटकों से असामान्य प्रक्रिया मेमोरी उपयोग और अप्रत्याशित अनपैकिंग/निष्कर्षण व्यवहार की निगरानी करें।

निष्कर्ष

यह अभियान दिखाता है कि कैसे हमलावर SEO हेरफेर, समान दिखने वाले डोमेन, बहु-चरणीय पुनर्निर्देशन और परिष्कृत DLL-आधारित चोरी का इस्तेमाल करके Gh0st-RAT-फ़ैमिली मैलवेयर को चीनी भाषी उपयोगकर्ताओं तक पहुँचाते हैं। वैध बाइनरी और छिपे हुए पेलोड का मिश्रण सतर्कता को ज़रूरी बनाता है: स्रोतों की पुष्टि करें, डोमेन की जाँच करें, और ऐसे सुरक्षा उपायों का इस्तेमाल करें जो रनटाइम व्यवहार के साथ-साथ फ़ाइल प्रतिष्ठा पर भी नज़र रखते हों।