Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad Perisian hasad Winos RAT

Perisian hasad Winos RAT

Menjelang Mezo pada perisian hasad, Alat Pentadbiran Jauh
Terjemahkan ke

Pengguna bahasa Cina telah disasarkan oleh kempen keracunan SEO tertumpu yang menggantikan halaman muat turun perisian sebenar dengan pemalsuan yang meyakinkan. Penyerang menolak pemasang berniat jahat melalui kedudukan carian yang dimanipulasi dan domain yang hampir sama, memudahkan mangsa untuk merebut perisian yang kelihatan seperti perisian yang sah tetapi sebenarnya menggunakan perisian hasad akses jauh.

BAGAIMANA KEMPEN BERLAKU

Pelaku ancaman meningkatkan halaman palsu dalam hasil carian dengan menyalahgunakan pemalam SEO dan mendaftarkan domain yang kelihatan secara visual meniru vendor yang sah. Mereka bergantung pada pertukaran aksara halus dan salinan bahasa Cina yang fasih untuk menipu orang supaya mengklik. Sebaik sahaja mangsa mendarat pada halaman muat turun trojan, pakej pemasangan mengandungi kedua-dua aplikasi yang dijangkakan dan komponen hasad tersembunyi. Campuran ini menjadikan pengesanan oleh pengguna biasa tidak mungkin.

SASARAN DAN GARIS MASA

Penyelidik pada Ogos 2025 mendapati bahawa kempen ini terutamanya memikat pengguna yang mencari produktiviti dan alat komunikasi yang popular. Contoh sasaran carian yang digunakan untuk mengumpan mangsa termasuk:

Terjemahan DeepL

Google Chrome

isyarat

Telegram

WhatsApp

Pejabat WPS

KELUARGA Malware TERLIBAT

Serangan itu membawa kepada penggunaan varian yang berkaitan dengan Gh0st RAT, terutamanya HiddenGh0st dan Winos (juga dikenali sebagai ValleyRAT). Winos telah dikaitkan dengan kluster jenayah siber yang dijejaki di bawah banyak alias — Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 dan Void Arachne — dan dipercayai telah aktif sejak sekurang-kurangnya 2022.

RANTAI PENGHANTARAN — pecahan teknikal

Fail JavaScript kecil berlabel nice.js mengatur penghantaran berbilang langkah. Skrip berulang kali mengambil respons JSON: pautan muat turun awal mengembalikan JSON yang mengandungi pautan kedua, pautan kedua itu mengembalikan muatan JSON yang lain, yang akhirnya mengubah hala ke URL pemasang berniat jahat. Ubah hala berlapis ini mengelirukan lokasi muatan akhir dan merumitkan pengesanan mudah.

Di dalam pemasang:

DLL berniat jahat bernama EnumW.dll melakukan satu set pemeriksaan anti-analisis dan kemudian mengekstrak DLL kedua (vstdlib.dll). Pengekstrakan dan tingkah laku vstdlib.dll direka untuk meningkatkan penggunaan memori dan memperlahankan alatan analisis, menghalang pemeriksaan automatik atau manual.

DLL kedua membongkar dan melancarkan muatan utama hanya selepas menyiasat sistem untuk kehadiran produk antivirus tertentu. Jika komponen AV itu dikesan, perisian hasad menggunakan rampasan TypeLib COM untuk mewujudkan kegigihan dan akhirnya melaksanakan binari Windows bernama insalivation.exe.

Jika antivirus tiada, perisian hasad sebaliknya mencipta pintasan Windows yang menghala ke boleh laku yang sama untuk mencapai kegigihan.

PAYLOAD AKHIR: SIDELoadING AIDE.dll

Matlamat utama adalah untuk memuatkan DLL yang dipanggil AIDE.dll. Setelah aktif, AIDE.dll melaksanakan tiga keupayaan operasi utama:

  • Perintah-dan-Kawalan (C2): komunikasi yang disulitkan dengan pelayan jauh untuk arahan dan pertukaran data.
  • Degupan jantung: pengumpulan berkala sistem dan maklumat mangsa, termasuk menghitung proses yang sedang berjalan dan menyemaknya terhadap senarai produk keselamatan berkod keras.
  • Pantau: pengesahan kegigihan, penjejakan aktiviti pengguna, dan isyarat biasa kembali ke C2.

KEUPAYAAN DAN PLUGIN TAMBAHAN

Modul C2 menyokong arahan jauh untuk mengambil pemalam tambahan. Keupayaan yang diketahui termasuk pengelogan kunci, tangkapan papan keratan, pemantauan skrin dan alat yang direka untuk merampas dompet mata wang kripto — khususnya dompet yang memegang aset Ethereum dan Tether. Beberapa pemalam yang diperhatikan dalam insiden ini nampaknya merupakan komponen yang digunakan semula daripada rangka kerja Winos dan mampu mengawasi skrin yang berterusan.

KENAPA JANGKITAN SUSAH DIKENAKAN

Oleh kerana pemasang menggabungkan aplikasi yang sah bersama muatan berniat jahat, pengguna yang memuat turun apa yang kelihatan seperti program yang dipercayai mungkin tidak akan menyedari apa-apa yang tidak kena. Penyerang menggunakan senjata malah hasil carian berpangkat tinggi, yang meningkatkan peluang bahawa pengguna yang berniat baik akan memasang pakej yang terjejas.

CADANGAN PERTAHANAN

  • Sentiasa sahkan nama domain dengan teliti sebelum memuat turun perisian; cari penggantian aksara halus dan URL yang tidak sepadan.
  • Lebih suka tapak vendor rasmi atau kedai aplikasi yang disahkan daripada muat turun daripada hasil carian.
  • Gunakan perlindungan titik akhir yang memeriksa tingkah laku pemasang (bukan hanya tandatangan fail) dan membolehkan perlindungan terhadap pemuatan sisi DLL dan rampasan COM.
  • Pantau untuk penggunaan memori proses yang luar biasa dan tingkah laku pembongkaran/pengeluaran yang tidak dijangka daripada komponen pemasang.

KESIMPULAN

Kempen ini menunjukkan cara penyerang menggabungkan manipulasi SEO, domain yang kelihatan, pengalihan berbilang peringkat dan pengelakan berasaskan DLL yang canggih untuk menolak perisian hasad keluarga Gh0st-RAT kepada pengguna berbahasa Cina. Gabungan perduaan yang sah dan muatan tersembunyi menjadikan kewaspadaan penting: mengesahkan sumber, meneliti domain dan menggunakan pertahanan yang melihat tingkah laku masa jalan serta reputasi fail.

Trending

Paling banyak dilihat

Memuatkan...