Ponuda s popustom na više licenci
Baza prijetnji Malware Zlonamjerni softver Winos RAT

Zlonamjerni softver Winos RAT

Do Mezo. Malware, Alati za udaljenu administraciju. godine
Prevedi na:

Korisnici koji govore kineski jezik meta su ciljane SEO kampanje koja zamjenjuje stvarne stranice za preuzimanje softvera uvjerljivim krivotvorinama. Napadači su gurali zlonamjerne instalacijske programe putem manipuliranih rangiranja u pretraživanju i gotovo identičnih domena, što žrtvama olakšava preuzimanje onoga što izgleda kao legitimni softver, ali zapravo koristi zlonamjerni softver za daljinski pristup.

KAKO KAMPANJA FUNKCIONIRA

Akteri prijetnji su pojačavali lažne stranice u rezultatima pretraživanja zloupotrebom SEO dodataka i registracijom domena koje vizualno oponašaju legitimne dobavljače. Oslanjali su se na suptilne zamjene znakova i tečni kineski tekst kako bi prevarili ljude da kliknu. Nakon što žrtva dođe na stranicu za preuzimanje zaraženu trojancem, instalacijski paket sadrži i očekivanu aplikaciju i skrivenu zlonamjernu komponentu. Ova kombinacija čini otkrivanje od strane običnih korisnika malo vjerojatnim.

CILJEVI I VREMENSKI KRAJ

Istraživači su u kolovozu 2025. otkrili da kampanja prvenstveno mami korisnike koji traže popularne alate za produktivnost i komunikaciju. Primjeri ciljeva pretraživanja koji se koriste za namamljivanje žrtava uključuju:

DeepL Prevedi

Google Chrome

Signal

Telegram

WhatsApp

Ured WPS-a

UKLJUČENE OBITELJI ZLONAMJERNOG SOFTVERA

Napadi su doveli do postavljanja varijanti povezanih s Gh0st RAT-om, posebno HiddenGh0st i Winos (također poznat kao ValleyRAT). Winos je pripisan skupini kibernetičkog kriminala praćenoj pod mnogim pseudonimima - Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 i Void Arachne - i vjeruje se da je aktivan najmanje od 2022. godine.

LANAC DOSTAVE — tehnički kvar

Mala JavaScript datoteka s oznakom nice.js orkestrira višekoračnu isporuku. Skripta opetovano dohvaća JSON odgovore: početna poveznica za preuzimanje vraća JSON koji sadrži sekundarnu poveznicu, a ta druga poveznica vraća još jedan JSON sadržaj, koji na kraju preusmjerava na URL zlonamjernog instalacijskog programa. Ovo slojevito preusmjeravanje zamagljuje konačnu lokaciju sadržaja i komplicira jednostavno otkrivanje.

Unutar instalatera:

Zlonamjerni DLL pod nazivom EnumW.dll provodi skup anti-analitičkih provjera, a zatim izdvaja drugi DLL (vstdlib.dll). Ekstrakcija i ponašanje vstdlib.dll-a osmišljeni su kako bi povećali korištenje memorije i usporili alate za analizu, ometajući automatiziranu ili ručnu inspekciju.

Drugi DLL raspakirava i pokreće glavni korisni sadržaj tek nakon što provjeri sustav na prisutnost određenog antivirusnog proizvoda. Ako se otkrije ta AV komponenta, zlonamjerni softver koristi otmicu TypeLib COM-a kako bi uspostavio postojanost i na kraju izvršio Windows binarnu datoteku pod nazivom insalivation.exe.

Ako antivirusni program nije dostupan, zlonamjerni softver umjesto toga stvara prečac za Windows koji upućuje na istu izvršnu datoteku kako bi se postigla trajnost.

ZAVRŠNI KORISNI TERET: SIDELoading AIDE.dll

Krajnji cilj je učitavanje DLL-a pod nazivom AIDE.dll. Nakon što je aktivan, AIDE.dll implementira tri primarne operativne mogućnosti:

  • Zapovijedanje i upravljanje (C2): šifrirana komunikacija s udaljenim poslužiteljem za razmjenu uputa i podataka.
  • Otkucaj srca: periodično prikupljanje informacija o sustavu i žrtvi, uključujući nabrajanje pokrenutih procesa i njihovu provjeru u odnosu na čvrsto kodirani popis sigurnosnih proizvoda.
  • Praćenje: potvrda postojanosti, praćenje aktivnosti korisnika i redovito slanje signala natrag C2.

DODATNE MOGUĆNOSTI I DODACI

C2 modul podržava udaljene naredbe za dohvaćanje dodatnih dodataka. Poznate mogućnosti uključuju keylogging, snimanje međuspremnika, praćenje zaslona i alate dizajnirane za otimanje kriptovaluta - posebno novčanika koji sadrže Ethereum i Tether imovinu. Čini se da su nekoliko dodataka uočenih u ovim incidentima ponovno korištene komponente iz Winos okvira i sposobni su za kontinuirani nadzor zaslona.

ZAŠTO JE INFEKCIJU TEŠKO UOČITI

Budući da instalacijski program uključuje legitimnu aplikaciju uz zlonamjerni sadržaj, korisnik koji preuzima ono što izgleda kao pouzdani program možda nikada neće primijetiti ništa neobično. Napadači su čak i visoko rangirane rezultate pretraživanja pretvorili u oružje, što povećava vjerojatnost da će dobronamjerni korisnici instalirati kompromitirane pakete.

PREPORUKE ZA OBRANU

  • Uvijek pažljivo provjerite nazive domena prije preuzimanja softvera; potražite suptilne zamjene znakova i neusklađene URL-ove.
  • Radije birajte službene stranice dobavljača ili provjerene trgovine aplikacija nego preuzimanja iz rezultata pretraživanja.
  • Koristite zaštitu krajnjih točaka koja provjerava ponašanje instalacijskog programa (ne samo potpise datoteka) i omogućite zaštitu od bočnog učitavanja DLL-a i otimanja COM-a.
  • Pratite neuobičajenu upotrebu memorije procesa i neočekivano ponašanje raspakiranja/ekstrakcije iz komponenti instalacijskog programa.

ZAKLJUČAK

Ova kampanja pokazuje kako napadači kombiniraju SEO manipulaciju, domene slične domeni, višefazno preusmjeravanje i sofisticirano izbjegavanje temeljeno na DLL-ovima kako bi korisnicima koji govore kineski jezik plasirali zlonamjerni softver iz obitelji Gh0st-RAT. Kombinacija legitimnih binarnih datoteka i skrivenih sadržaja čini budnost ključnom: provjerite izvore, pregledajte domene i koristite obrane koje prate ponašanje tijekom izvođenja kao i reputaciju datoteka.

U trendu

Nagledanije

Učitavam...