Winos RAT 맬웨어

중국어 사용자들은 진짜 소프트웨어 다운로드 페이지를 그럴듯한 가짜 페이지로 대체하는 집중적인 SEO 포이즈닝 캠페인의 표적이 되어 왔습니다. 공격자들은 조작된 검색 순위와 거의 동일한 도메인을 통해 악성 설치 프로그램을 밀어넣어, 피해자들이 합법적인 소프트웨어처럼 보이지만 실제로는 원격 접속 악성코드를 배포하는 소프트웨어를 쉽게 획득할 수 있도록 했습니다.

캠페인 작동 방식

위협 행위자들은 SEO 플러그인을 악용하고 합법적인 업체를 시각적으로 모방하는 유사 도메인을 등록하여 검색 결과에서 위조된 페이지를 증가시켰습니다. 미묘한 문자 변환과 유창한 중국어 문구를 이용하여 사용자를 속여 클릭하게 했습니다. 피해자가 트로이 목마에 감염된 다운로드 페이지에 접속하면, 설치 패키지에는 예상 애플리케이션과 숨겨진 악성 구성 요소가 모두 포함됩니다. 이러한 조합으로 인해 일반 사용자는 탐지하기 어렵습니다.

목표 및 타임라인

2025년 8월, 연구원들은 이 캠페인이 주로 인기 있는 생산성 및 커뮤니케이션 도구를 검색하는 사용자를 유인한다는 사실을 발견했습니다. 피해자를 유인하는 데 사용되는 검색 대상의 예는 다음과 같습니다.

DeepL 번역

구글 크롬

신호

전보

왓츠앱

WPS 사무실

관련된 맬웨어 패밀리

이 공격으로 인해 Gh0st RAT 관련 변종, 특히 HiddenGh0st와 Winos(ValleyRAT으로도 알려짐)가 배포되었습니다. Winos는 Silver Fox, SwimSnake, The Great Thief of Valley(Valley Thief), UTG-Q-1000, Void Arachne 등 여러 가명으로 추적되는 사이버 범죄 집단의 소행으로 추정되며, 최소 2022년부터 활동한 것으로 추정됩니다.

배송 체인 - 기술적 고장

nice.js라는 작은 JavaScript 파일이 다단계 배포를 조율합니다. 이 스크립트는 JSON 응답을 반복적으로 가져옵니다. 첫 번째 다운로드 링크는 두 번째 링크가 포함된 JSON을 반환하고, 두 번째 링크는 또 다른 JSON 페이로드를 반환하며, 최종적으로 악성 설치 프로그램 URL로 리디렉션됩니다. 이러한 다층적인 리디렉션은 최종 페이로드 위치를 난독화하고 간단한 탐지를 복잡하게 만듭니다.

설치 프로그램 내부:

EnumW.dll이라는 악성 DLL은 일련의 분석 방지 검사를 수행한 후 두 번째 DLL(vstdlib.dll)을 추출합니다. vstdlib.dll의 추출 및 동작은 메모리 사용량을 증가시키고 분석 도구의 속도를 저하시켜 자동 또는 수동 검사를 방해하도록 설계되었습니다.

두 번째 DLL은 특정 바이러스 백신 제품의 존재 여부를 시스템에 조사한 후에만 주요 페이로드를 압축 해제하고 실행합니다. 해당 바이러스 백신 구성 요소가 감지되면 맬웨어는 TypeLib COM 하이재킹을 사용하여 지속성을 확보하고 결국 insalivation.exe라는 Windows 바이너리를 실행합니다.

바이러스 백신 프로그램이 없으면 맬웨어는 지속성을 확보하기 위해 동일한 실행 파일을 가리키는 Windows 바로 가기를 만듭니다.

최종 페이로드: SIDELoading AIDE.dll

궁극적인 목표는 AIDE.dll이라는 DLL을 사이드로드하는 것입니다. AIDE.dll이 활성화되면 세 가지 주요 운영 기능을 구현합니다.

• 명령 및 제어(C2): 원격 서버와 암호화된 통신을 통해 지시와 데이터를 교환합니다.
• 하트비트: 실행 중인 프로세스를 열거하고 이를 하드코딩된 보안 제품 목록과 비교하는 것을 포함하여 시스템 및 피해자 정보를 주기적으로 수집합니다.
• 모니터: 지속성 확인, 사용자 활동 추적, C2로의 정기적 비콘 전송.

추가 기능 및 플러그인

C2 모듈은 추가 플러그인을 가져오는 원격 명령을 지원합니다. 알려진 기능으로는 키로깅, 클립보드 캡처, 화면 모니터링, 그리고 암호화폐 지갑(특히 이더리움과 테더 자산을 보유한 지갑)을 탈취하도록 설계된 도구 등이 있습니다. 이번 사건에서 발견된 여러 플러그인은 Winos 프레임워크의 구성 요소를 재사용한 것으로 보이며, 지속적인 화면 감시가 가능합니다.

감염을 발견하기 어려운 이유

설치 프로그램이 합법적인 애플리케이션과 악성 페이로드를 함께 제공하기 때문에, 신뢰할 수 있는 프로그램처럼 보이는 프로그램을 다운로드하는 사용자는 아무런 문제도 눈치채지 못할 수 있습니다. 공격자들은 상위 검색 결과까지 악용하여, 선의의 사용자가 감염된 패키지를 설치할 가능성을 높입니다.

방위 권고안

• 소프트웨어를 다운로드하기 전에 항상 도메인 이름을 주의 깊게 확인하세요. 미묘한 문자 대체나 일치하지 않는 URL이 있는지 살펴보세요.
• 검색 결과에서 다운로드하는 것보다는 공식 공급업체 사이트나 검증된 앱 스토어를 선호하세요.
• 설치 프로그램의 동작(파일 서명뿐만 아니라)을 검사하는 엔드포인트 보호를 사용하고 DLL 사이드로딩 및 COM 하이재킹에 대한 보호 기능을 활성화합니다.

결론

이 캠페인은 공격자가 SEO 조작, 유사 도메인, 다단계 리디렉션, 그리고 정교한 DLL 기반 우회 기법을 결합하여 중국어 사용자에게 Gh0st-RAT 계열 악성코드를 유포하는 방식을 보여줍니다. 합법적인 바이너리와 숨겨진 페이로드가 혼합되어 있기 때문에 경계가 필수적입니다. 출처를 확인하고, 도메인을 면밀히 조사하고, 런타임 동작과 파일 평판을 모두 고려하는 방어책을 활용하십시오.