„Winos RAT“ kenkėjiška programa
Kinų kalba kalbantys vartotojai tapo tikslinės SEO apgaulės kampanijos taikiniu, kai tikri programinės įrangos atsisiuntimo puslapiai pakeičiami įtikinamais klastotėmis. Užpuolikai kenkėjiškus diegimo programas stūmė per suklastotus paieškos reitingus ir beveik identiškus domenus, taip palengvindami aukoms galimybę gauti programinę įrangą, kuri atrodo kaip teisėta, bet iš tikrųjų diegia nuotolinės prieigos kenkėjišką programą.
Turinys
KAIP VEIKIA KAMPANIJA
Grėsmių kūrėjai paieškos rezultatuose padidino suklastotų puslapių skaičių naudodami SEO papildinius ir registruodami panašius domenus, kurie vizualiai imituoja teisėtus pardavėjus. Jie rėmėsi subtiliais simbolių pakeitimais ir sklandžia kinų kalba parašytais tekstais, kad apgautų žmones ir priverstų juos spustelėti. Kai auka patenka į užkrėstą atsisiuntimo puslapį, diegimo pakete yra ir laukiama programa, ir paslėptas kenkėjiškas komponentas. Dėl šio derinio atsitiktiniai vartotojai gali jį aptikti.
TIKSLAI IR LAIKOTARPIS
2025 m. rugpjūtį tyrėjai nustatė, kad kampanija pirmiausia vilioja vartotojus, ieškančius populiarių produktyvumo ir bendravimo įrankių. Paieškos taikinių, naudojamų aukoms privilioti, pavyzdžiai:
DeepL Translate
„Google Chrome“
Signalas
Telegrama
WPS biuras
Dalyvaujančios kenkėjiškų programų šeimos
Dėl išpuolių buvo dislokuoti su „Gh0st RAT“ susiję variantai, ypač „HiddenGh0st“ ir „Winos“ (taip pat žinomas kaip „ValleyRAT“). „Winos“ buvo priskirtas kibernetinių nusikaltimų grupei, kuri buvo sekama naudojant daugybę slapyvardžių – „Silver Fox“, „SwimSnake“, „The Great Thief of Valley“ (Valley Thief), UTG-Q-1000 ir „Void Arachne“ – ir manoma, kad ji buvo aktyvi mažiausiai nuo 2022 m.
PRISTATYMO GRANDINĖ – techninis gedimas
Mažas „JavaScript“ failas, pavadintas „nice.js“, koordinuoja kelių žingsnių pristatymą. Scenarijus pakartotinai nuskaito JSON atsakymus: pradinė atsisiuntimo nuoroda grąžina JSON su antrine nuoroda, ta antroji nuoroda grąžina kitą JSON naudingąją apkrovą, kuri galiausiai nukreipia į kenkėjiško diegimo URL. Šis sluoksninis nukreipimas užmaskuoja galutinę naudingosios apkrovos vietą ir apsunkina paprastą aptikimą.
Diegimo programos viduje:
Kenkėjiška DLL, pavadinta „EnumW.dll“, atlieka antianalizės patikrinimų rinkinį ir tada išskleidžia antrą DLL (vstdlib.dll). Vstdlib.dll išskyrimas ir veikimas yra skirti padidinti atminties naudojimą ir sulėtinti analizės įrankius, trukdant automatiniam arba rankiniam patikrinimui.
Antrasis DLL išpakuoja ir paleidžia pagrindinę programą tik patikrinęs sistemą, ar nėra konkretaus antivirusinio produkto. Jei aptinkamas tas antivirusinės programos komponentas, kenkėjiška programa naudoja „TypeLib COM“ užgrobimą, kad būtų užtikrintas sistemos išlikimas ir galiausiai būtų paleistas „Windows“ dvejetainis failas pavadinimu insalivation.exe.
Jei antivirusinės programos nėra, kenkėjiška programa sukuria „Windows“ nuorodą, kuri nukreipia į tą patį vykdomąjį failą, kad būtų užtikrintas jos išsaugojimas.
GALUTINIS NAUDINGASIS APKROVIMAS: SIDELOADING AIDE.dll
Galutinis tikslas yra įkelti DLL failą, vadinamą AIDE.dll. Kai AIDE.dll tampa aktyvus, jis atlieka tris pagrindines operacines funkcijas:
- Komandinis valdymas (C2): užšifruotas ryšys su nuotoliniu serveriu, skirtas instrukcijoms ir duomenų mainams.
- Širdies ritmas: periodiškas sistemos ir aukų informacijos rinkimas, įskaitant veikiančių procesų išvardijimą ir jų patikrinimą pagal užkoduotą saugos produktų sąrašą.
- Stebėjimas: duomenų tęstinumo patvirtinimas, naudotojų veiklos stebėjimas ir reguliarus signalų siuntimas atgal į C2.
PAPILDOMOS GALIMYBĖS IR ĮPIRKINIAI
C2 modulis palaiko nuotolines komandas, skirtas gauti papildomus papildinius. Žinomos funkcijos apima klavišų paspaudimų registravimą, iškarpinės fiksavimą, ekrano stebėjimą ir įrankius, skirtus kriptovaliutų piniginėms, ypač piniginėms, kuriose saugomi Ethereum ir Tether ištekliai, užgrobti. Keletas šių incidentų metu pastebėtų papildinių, atrodo, yra pakartotinai panaudoti „Winos“ platformos komponentai ir gali nuolat stebėti ekraną.
KODĖL INFEKCIJĄ SUNKU PASTABĖTI
Kadangi diegimo programa kartu su kenkėjiška programa įtraukia ir teisėtą programą, vartotojas, atsisiunčiantis programą, kuri atrodo patikima, gali nepastebėti jokių problemų. Užpuolikai netgi aukštai reitinguojamus paieškos rezultatus pavertė ginklu, o tai padidina tikimybę, kad geranoriški vartotojai įdiegs pažeistus paketus.
GYNYBOS REKOMENDACIJOS
- Prieš atsisiųsdami programinę įrangą, visada atidžiai patikrinkite domenų vardus; ieškokite subtilių simbolių pakeitimų ir nesutampančių URL adresų.
- Verčiau rinkitės oficialių tiekėjų svetaines arba patikrintas programėlių parduotuves, o ne atsisiuntimus iš paieškos rezultatų.
- Naudokite galinių įrenginių apsaugą, kuri tikrina diegimo programos elgseną (ne tik failų parašus) ir įjunkite apsaugą nuo DLL šalutinio įkėlimo ir COM užgrobimo.
IŠVADA
Ši kampanija parodo, kaip užpuolikai derina SEO manipuliavimą, panašius domenus, daugiapakopį peradresavimą ir sudėtingą DLL pagrindu veikiantį apėjimą, kad platintų „Gh0st-RAT“ šeimos kenkėjiškas programas kinų kalba kalbantiems vartotojams. Dėl teisėtų dvejetainių failų ir paslėptų naudingųjų krūvių derinio būtinas budrumas: tikrinkite šaltinius, atidžiai stebėkite domenus ir naudokite apsaugos priemones, kurios stebi elgseną vykdymo metu ir failų reputaciją.
