Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra Winos RAT ļaunprogrammatūra

Winos RAT ļaunprogrammatūra

Līdz Mezo. gadam Ļaunprātīga programmatūra, Attālās administrēšanas rīki. gadā
Tulkot uz:

Ķīniešu valodas lietotāji ir kļuvuši par mērķtiecīgas SEO saindēšanas kampaņas mērķi, kas īstas programmatūras lejupielādes lapas aizstāj ar pārliecinošiem viltojumiem. Uzbrucēji ļaunprātīgus instalētājus virzīja cauri manipulētām meklēšanas ranžēšanas lapām un gandrīz identiskiem domēniem, atvieglojot upuriem programmatūras iegūšanu, kas izskatās pēc likumīgas programmatūras, bet patiesībā izvieto attālinātas piekļuves ļaunprogrammatūru.

KĀ KAMPAŅA DARBOJAS

Draudu izpildītāji veicināja viltotu lapu popularitāti meklēšanas rezultātos, ļaunprātīgi izmantojot SEO spraudņus un reģistrējot līdzīgus domēnus, kas vizuāli atdarina likumīgus pārdevējus. Viņi paļāvās uz smalkām rakstzīmju aizstāšanām un tekošu ķīniešu valodas tekstu, lai apmānītu cilvēkus un liktu viņiem noklikšķināt uz saites. Kad upuris nonāk Trojas zirga piesārņotā lejupielādes lapā, instalācijas pakotnē ir gan paredzētā lietojumprogramma, gan slēpts ļaunprātīgs komponents. Šis sajaukums maz ticams, ka nejauši lietotāji varēs tās atklāt.

MĒRĶI UN LAIKA GRAFIKS

2025. gada augustā pētnieki atklāja, ka kampaņa galvenokārt piesaista lietotājus, kas meklē populārus produktivitātes un saziņas rīkus. Upuru pievilināšanai izmantoto meklēšanas mērķu piemēri ir šādi:

DeepL Translate

Google Chrome

Signāls

Telegramma

WhatsApp

WPS birojs

IESAISTĪTĀS ĻAUNPRĀTŪRAS SAIMES

Uzbrukumi noveda pie ar Gh0st RAT saistītu variantu, īpaši HiddenGh0st un Winos (pazīstams arī kā ValleyRAT), izvietošanas. Winos ir saistīts ar kibernoziegumu klasteri, kas tiek izsekots ar daudziem pseidonīmiem — Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 un Void Arachne —, un tiek uzskatīts, ka tas ir aktīvs vismaz kopš 2022. gada.

PIEGĀDES ĶĒDE — tehniskas problēmas

Neliels JavaScript fails ar nosaukumu nice.js vada vairāku soļu piegādi. Skripts atkārtoti ielādē JSON atbildes: sākotnējā lejupielādes saite atgriež JSON, kas satur sekundāru saiti, šī otrā saite atgriež citu JSON vērtumu, kas galu galā novirza uz ļaunprātīgā instalētāja URL. Šī slāņveida novirzīšana gan slēpj galīgo vērtuma atrašanās vietu, gan sarežģī vienkāršu noteikšanu.

Instalētāja iekšpusē:

Ļaunprātīga DLL fails ar nosaukumu EnumW.dll veic virkni antianalīzes pārbaužu un pēc tam izvelk otru DLL failu (vstdlib.dll). Vstdlib.dll izvilkšana un darbība ir paredzēta, lai palielinātu atmiņas izmantošanu un palēninātu analīzes rīku darbību, kavējot automatizētu vai manuālu pārbaudi.

Otrais DLL izpako un palaiž galveno vērtumu tikai pēc tam, kad sistēmā ir pārbaudīta konkrēta pretvīrusu produkta klātbūtne. Ja šis pretvīrusu komponents tiek atklāts, ļaunprogrammatūra izmanto TypeLib COM nolaupīšanu, lai nodrošinātu pastāvīgu piekļuvi un galu galā izpildītu Windows bināro failu ar nosaukumu insalivation.exe.

Ja pretvīrusu programma nav pieejama, ļaunprogrammatūra izveido Windows saīsni, kas norāda uz to pašu izpildāmo failu, lai nodrošinātu pastāvīgu piekļuvi.

GALĪGĀ SLODZE: SIDELOADING AIDE.dll

Galvenais mērķis ir sānielādēt DLL failu ar nosaukumu AIDE.dll. Kad tas ir aktīvs, AIDE.dll īsteno trīs galvenās darbības iespējas:

  • Komandvadība (C2): šifrēta saziņa ar attālo serveri instrukciju un datu apmaiņai.
  • Sirdsdarbība: periodiska sistēmas un upuru informācijas vākšana, tostarp darbojošos procesu uzskaitīšana un to salīdzināšana ar stingri iekodētu drošības produktu sarakstu.
  • Monitors: noturības apstiprinājums, lietotāja aktivitāšu izsekošana un regulāra signālu pārraide atpakaļ uz C2.

PAPILDU IESPĒJAS UN SPRAUDŅI

C2 modulis atbalsta attālinātas komandas papildu spraudņu ielādei. Zināmas iespējas ietver taustiņsitienu fiksēšanu, starpliktuves uztveršanu, ekrāna uzraudzību un rīkus, kas paredzēti kriptovalūtu maku — īpaši maku, kuros tiek glabāti Ethereum un Tether aktīvi — nolaupīšanai. Vairāki šajos incidentos novērotie spraudņi, šķiet, ir atkārtoti izmantoti Winos ietvara komponenti un spēj veikt nepārtrauktu ekrāna uzraudzību.

KĀPĒC INFEKCIJU IR GRŪTI PAZEMT

Tā kā instalētājs kopā ar ļaunprātīgo vērtumu iekļauj arī likumīgo lietojumprogrammu, lietotājs, kas lejupielādē šķietami uzticamas programmas saturu, var nepamanīt neko nepareizu. Uzbrucēji ir ieroci izmantojuši pat augsta ranga meklēšanas rezultātus, kas palielina iespēju, ka labi domājoši lietotāji instalēs apdraudētās pakotnes.

AIZSARDZĪBAS IETEIKUMI

  • Pirms programmatūras lejupielādes vienmēr rūpīgi pārbaudiet domēna vārdus; meklējiet smalkas rakstzīmju aizvietošanas un neatbilstošus URL.
  • Dodiet priekšroku oficiālu pārdevēju vietnēm vai pārbaudītiem lietotņu veikaliem, nevis lejupielādēm no meklēšanas rezultātiem.
  • Izmantojiet galapunktu aizsardzību, kas pārbauda instalētāja darbību (ne tikai failu parakstus) un iespējo aizsardzību pret DLL sānielādēšanu un COM nolaupīšanu.
  • Uzraugiet neparastu procesa atmiņas izmantošanu un negaidītu izsaiņošanas/izvilkšanas darbību no instalēšanas programmas komponentiem.

SECINĀJUMS

Šī kampaņa parāda, kā uzbrucēji apvieno SEO manipulācijas, līdzīgus domēnus, daudzpakāpju pāradresāciju un sarežģītu DLL balstītu apiešanu, lai izplatītu Gh0st-RAT saimes ļaunprogrammatūru ķīniešu valodā runājošiem lietotājiem. Likumīgu bināro failu un slēpto vērtumu sajaukums padara modrību būtisku: pārbaudiet avotus, rūpīgi pārbaudiet domēnus un izmantojiet aizsardzības līdzekļus, kas aplūko gan izpildlaika uzvedību, gan failu reputāciju.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
35,315
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...