Winos RAT kártevő

A kínaiul beszélő felhasználókat célozták meg egy célzott SEO-mérgezési kampány keretében, amely valódi szoftverletöltő oldalakat helyettesít meggyőző hamisítványokkal. A támadók manipulált keresési rangsorokon és közel azonos domaineken keresztül juttatták el a rosszindulatú telepítőket, megkönnyítve az áldozatok számára, hogy legitimnek tűnő, de valójában távoli hozzáférésű rosszindulatú programokat telepítsenek.

HOGYAN MŰKÖDIK A KAMPÁNY

A támadók SEO bővítményekkel és olyan hamisított domainek regisztrációjával növelték a hamis oldalak megjelenését a keresési eredmények között, amelyek vizuálisan utánozták a legitim szolgáltatókat. Finom karaktercserékre és folyékony kínai szövegre támaszkodtak, hogy rávegyék az embereket a kattintásra. Amint az áldozat egy trójai letöltési oldalra jut, a telepítőcsomag tartalmazza mind a várt alkalmazást, mind egy rejtett rosszindulatú komponenst. Ez a keverék valószínűtlenné teszi a hétköznapi felhasználók általi észlelést.

CÉLOK ÉS ÜTEMTERV

A kutatók 2025 augusztusában felfedezték, hogy a kampány elsősorban a népszerű hatékonyságnövelő és kommunikációs eszközöket kereső felhasználókat csábítja. Az áldozatok csalogatására használt keresési célpontok például a következők:

DeepL Fordítás

Google Chrome

Jel

Távirat

WhatsApp

WPS Iroda

ÉRINTETT KÁRTÉKONY CSALÁDOK

A támadások a Gh0st RAT-hoz kapcsolódó variánsok, nevezetesen a HiddenGh0st és a Winos (más néven ValleyRAT) telepítéséhez vezettek. A Winost egy számos álnéven – Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 és Void Arachne – nyomon követett kiberbűnözési csoporthoz kötik, és úgy vélik, hogy legalább 2022 óta aktív.

A SZÁLLÍTÁSI LÁNC – technikai lebontás

Egy kis, nice.js nevű JavaScript fájl vezérli a többlépéses kézbesítést. A szkript ismételten JSON válaszokat kér le: egy kezdeti letöltési link egy másodlagos linket tartalmazó JSON-t ad vissza, ez a második link pedig egy másik JSON hasznos adatot ad vissza, amely végül a rosszindulatú telepítő URL-címére irányít át. Ez a réteges átirányítás egyrészt elrejti a végső hasznos adat helyét, másrészt bonyolítja az egyszerű észlelést.

A telepítő belsejében:

Egy EnumW.dll nevű rosszindulatú DLL anti-analízis ellenőrzéseket hajt végre, majd kinyeri a második DLL-t (vstdlib.dll). A vstdlib.dll kinyerése és viselkedése a memóriahasználat növelésére és az elemzőeszközök lassítására szolgál, akadályozva az automatikus vagy manuális ellenőrzést.

A második DLL csak azután csomagolja ki és indítja el a fő hasznos fájlt, miután átvizsgálta a rendszert egy adott víruskereső termék jelenlétére. Ha a víruskereső komponenst észleli, a kártevő TypeLib COM-eltérítést használ a perzisztencia létrehozásához, és végül egy insalivation.exe nevű Windows bináris fájlt futtat.

Ha a víruskereső hiányzik, a rosszindulatú program ehelyett egy Windows parancsikont hoz létre, amely ugyanarra a futtatható fájlra mutat, hogy megőrizze a vírus jelenlétét.

VÉGSŐ TERHELÉS: SIDELoading AIDE.dll

A végső cél egy AIDE.dll nevű DLL oldalra telepítése. Aktiválás után az AIDE.dll három fő működési képességet valósít meg:

• Parancs-és-vezérlés (C2): titkosított kommunikáció egy távoli szerverrel utasítások és adatcsere céljából.
• Szívverés: a rendszer- és áldozatinformációk rendszeres gyűjtése, beleértve a futó folyamatok felsorolását és ellenőrzését egy fixen kódolt biztonsági terméklistával szemben.
• Monitor: a perzisztencia megerősítése, felhasználói aktivitás követése és rendszeres visszajelzés a C2-nek.

TOVÁBBI KÉPESSÉGEK ÉS BŐVÍTMÉNYEK

A C2 modul távoli parancsokat támogat extra bővítmények lekéréséhez. Az ismert képességek közé tartozik a billentyűnaplózás, a vágólapra rögzítés, a képernyőfigyelés, valamint a kriptovaluta-tárcák – különösen az Ethereum és Tether eszközöket tartalmazó tárcák – eltérítésére tervezett eszközök. Az ezekben az esetekben megfigyelt számos bővítmény a Winos keretrendszer újrahasznosított összetevőjének tűnik, és képes folyamatos képernyőfigyelésre.

MIÉRT NEHÉZ FELFEDEZNI A FERTŐZÉST?

Mivel a telepítő a legitim alkalmazást is a rosszindulatú csomaggal együtt csomagolja, egy megbízhatónak tűnő programot letöltő felhasználó talán soha nem vesz észre semmi rendellenességet. A támadók még a magas rangú keresési találatokat is fegyverként használták, ami növeli annak az esélyét, hogy jó szándékú felhasználók telepítsék a feltört csomagokat.

VÉDEKEZÉSI AJÁNLÁSOK

• A szoftverek letöltése előtt mindig gondosan ellenőrizze a domainneveket; keressen finom karakterhelyettesítéseket és egyező URL-címeket.
• A keresési találatok közüli letöltések helyett részesítsd előnyben a hivatalos szállítói weboldalakat vagy az ellenőrzött alkalmazásboltokat.
• Használjon olyan végpontvédelmet, amely a telepítő viselkedését vizsgálja (nem csak a fájlaláírásokat), és védelmet nyújt a DLL-ek oldalirányú betöltése és a COM-eltérítés ellen.
• Figyelje a szokatlan folyamatmemória-használatot és a váratlan kicsomagolási/kinyerési viselkedést a telepítő összetevőiből.

KÖVETKEZTETÉS

Ez a kampány bemutatja, hogyan kombinálják a támadók a SEO-manipulációt, a hasonló domaineket, a többlépcsős átirányítást és a kifinomult DLL-alapú elkerülést, hogy a Gh0st-RAT családba tartozó rosszindulatú programot kínaiul beszélő felhasználókhoz juttassák el. A legitim bináris fájlok és a rejtett hasznos fájlok keveréke elengedhetetlenné teszi az éberséget: ellenőrizzék a forrásokat, vizsgálják a domaineket, és használjanak olyan védelmet, amely a futásidejű viselkedést és a fájlok hírnevét is vizsgálja.