Preventivo sconto multi-licenza
Database delle minacce Malware Malware RAT Winos

Malware RAT Winos

Entro Mezo nel Malware, Strumenti di amministrazione remota
Traduci in:

Gli utenti di lingua cinese sono stati presi di mira da una campagna mirata di "SEO poisoning" che sostituisce le pagine di download di software reali con falsi convincenti. Gli aggressori hanno inserito programmi di installazione dannosi in classifiche di ricerca manipolate e domini quasi identici, rendendo facile per le vittime ottenere software apparentemente legittimo, ma che in realtà distribuisce malware ad accesso remoto.

COME FUNZIONA LA CAMPAGNA

Gli autori della minaccia hanno potenziato le pagine contraffatte nei risultati di ricerca abusando di plugin SEO e registrando domini simili che imitano visivamente i fornitori legittimi. Hanno fatto affidamento su sottili scambi di caratteri e su testi in cinese fluente per indurre gli utenti a cliccare. Una volta che la vittima atterra su una pagina di download trojanizzata, il pacchetto di installazione contiene sia l'applicazione prevista che un componente dannoso nascosto. Questa combinazione rende improbabile il rilevamento da parte di utenti occasionali.

OBIETTIVI E TEMPI

Nell'agosto 2025, i ricercatori hanno scoperto che la campagna attira principalmente gli utenti alla ricerca di strumenti di produttività e comunicazione popolari. Tra gli esempi di target di ricerca utilizzati per adescare le vittime figurano:

DeepL Translate

Google Chrome

Segnale

Telegramma

WhatsApp

Ufficio WPS

FAMIGLIE DI MALWARE COINVOLTE

Gli attacchi hanno portato alla diffusione di varianti correlate a Gh0st RAT, in particolare HiddenGh0st e Winos (noto anche come ValleyRAT). Winos è stato attribuito a un cluster di criminalità informatica tracciato con diversi alias: Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 e Void Arachne, e si ritiene che sia attivo almeno dal 2022.

LA CATENA DI CONSEGNA — analisi tecnica

Un piccolo file JavaScript denominato nice.js orchestra la distribuzione in più fasi. Lo script recupera ripetutamente le risposte JSON: un link di download iniziale restituisce un JSON contenente un link secondario, il quale restituisce un altro payload JSON, che infine reindirizza all'URL dell'installer dannoso. Questo reindirizzamento a più livelli offusca la posizione finale del payload e complica il semplice rilevamento.

All'interno del programma di installazione:

Una DLL dannosa denominata EnumW.dll esegue una serie di controlli anti-analisi e quindi estrae una seconda DLL (vstdlib.dll). L'estrazione e il comportamento di vstdlib.dll sono progettati per aumentare l'utilizzo della memoria e rallentare gli strumenti di analisi, ostacolando l'ispezione automatica o manuale.

La seconda DLL decomprime e avvia il payload principale solo dopo aver sondato il sistema alla ricerca di uno specifico prodotto antivirus. Se tale componente antivirus viene rilevato, il malware utilizza il dirottamento COM TypeLib per stabilire la persistenza ed eseguire infine un file binario Windows denominato insalivation.exe.

Se l'antivirus è assente, il malware crea invece un collegamento a Windows che punta allo stesso eseguibile per ottenere la persistenza.

CARICO PAYLOAD FINALE: SIDELoadING AIDE.dll

L'obiettivo finale è caricare lateralmente una DLL chiamata AIDE.dll. Una volta attiva, AIDE.dll implementa tre funzionalità operative principali:

  • Comando e controllo (C2): comunicazioni crittografate con un server remoto per istruzioni e scambio di dati.
  • Heartbeat: raccolta periodica di informazioni sul sistema e sulla vittima, inclusa l'enumerazione dei processi in esecuzione e il loro controllo rispetto a un elenco codificato di prodotti di sicurezza.
  • Monitoraggio: conferma della persistenza, monitoraggio delle attività dell'utente e segnalazione regolare al C2.

ULTERIORI CAPACITÀ E PLUGIN

Il modulo C2 supporta comandi remoti per recuperare plugin aggiuntivi. Tra le funzionalità note figurano il keylogging, l'acquisizione degli appunti, il monitoraggio dello schermo e strumenti progettati per dirottare i wallet di criptovalute, in particolare quelli contenenti asset Ethereum e Tether. Diversi plugin osservati in questi incidenti sembrano essere componenti riutilizzati del framework Winos e sono in grado di monitorare costantemente lo schermo.

PERCHÉ L’INFEZIONE È DIFFICILE DA INDIVIDUARE

Poiché il programma di installazione include l'applicazione legittima insieme al payload dannoso, un utente che scarica un programma apparentemente affidabile potrebbe non accorgersi mai di nulla di anomalo. Gli aggressori hanno sfruttato anche i risultati di ricerca più in alto, il che aumenta la probabilità che utenti benintenzionati installino i pacchetti compromessi.

RACCOMANDAZIONI DI DIFESA

  • Prima di scaricare un software, verifica sempre attentamente i nomi di dominio; fai attenzione a sostituzioni di caratteri impercettibili e URL non corrispondenti.
  • Preferisci i siti ufficiali dei fornitori o gli app store verificati piuttosto che i download dai risultati di ricerca.
  • Utilizzare la protezione degli endpoint che ispeziona il comportamento del programma di installazione (non solo le firme dei file) e abilitare la protezione contro il sideload delle DLL e il dirottamento COM.
  • Monitorare l'utilizzo insolito della memoria di processo e il comportamento imprevisto di decompressione/estrazione dai componenti del programma di installazione.

CONCLUSIONE

Questa campagna mostra come gli aggressori combinano manipolazione SEO, domini simili, reindirizzamento multifase e sofisticate evasioni basate su DLL per diffondere malware della famiglia Gh0st-RAT agli utenti di lingua cinese. La combinazione di binari legittimi e payload nascosti rende essenziale la vigilanza: verificare le fonti, analizzare attentamente i domini e utilizzare difese che analizzano il comportamento in fase di esecuzione e la reputazione dei file.

Tendenza

I più visti

Caricamento in corso...