Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare Winos RAT-skadevare

Winos RAT-skadevare

Med Mezo i Skadelig programvare, Fjernadministrasjonsverktøy
Oversett til:

Kinesiskspråklige brukere har blitt målrettet av en fokusert SEO-forgiftningskampanje som erstatter ekte programvarenedlastingssider med overbevisende forfalskninger. Angriperne presset ondsinnede installatører gjennom manipulerte søkerangeringer og nesten identiske domener, noe som gjør det enkelt for ofrene å få tak i det som ser ut som legitim programvare, men som faktisk distribuerer skadelig programvare for ekstern tilgang.

HVORDAN KAMPANJEN FUNGERER

Trusselaktørene økte antallet forfalskede sider i søkeresultatene ved å misbruke SEO-plugins og registrere lignende domener som visuelt etterligner legitime leverandører. De brukte subtile tegnbytter og flytende kinesisk tekst for å lure folk til å klikke. Når et offer havner på en trojanerisert nedlastingsside, inneholder installasjonspakken både det forventede programmet og en skjult skadelig komponent. Denne blandingen gjør det usannsynlig at de blir oppdaget av vanlige brukere.

MÅL OG TIDSPLAN

I august 2025 oppdaget forskere at kampanjen primært lokker brukere som søker etter populære produktivitets- og kommunikasjonsverktøy. Eksempler på søkemål som brukes for å lokke ofre inkluderer:

DeepL Translate

Google Chrome

Signal

Telegram

WhatsApp

WPS-kontor

SKADELIG PROGRAMFAMILIER INVOLVERT

Angrepene førte til utplassering av varianter relatert til Gh0st RAT, særlig HiddenGh0st og Winos (også kjent som ValleyRAT). Winos har blitt tilskrevet en nettkriminalitetsklynge sporet under mange aliaser – Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 og Void Arachne – og antas å ha vært aktiv siden minst 2022.

LEVERINGSKJEDEN – teknisk oversikt

En liten JavaScript-fil med navnet nice.js orkestrerer flertrinnsleveringen. Skriptet henter gjentatte ganger JSON-svar: en innledende nedlastingslenke returnerer JSON som inneholder en sekundær lenke, den andre lenken returnerer en annen JSON-nyttelast, som til slutt omdirigerer til den ondsinnede installasjons-URL-en. Denne lagdelte omdirigeringen tilslører både den endelige nyttelastplasseringen og kompliserer enkel deteksjon.

Inne i installasjonsprogrammet:

En ondsinnet DLL kalt EnumW.dll utfører et sett med anti-analysekontroller og pakker deretter ut en andre DLL (vstdlib.dll). Uttrekkingen og oppførselen til vstdlib.dll er utformet for å øke minnebruken og redusere hastigheten på analyseverktøyet, noe som hindrer automatisert eller manuell inspeksjon.

Den andre DLL-en pakker ut og starter hovednyttelasten først etter å ha undersøkt systemet for tilstedeværelsen av et spesifikt antivirusprodukt. Hvis den antiviruskomponenten oppdages, bruker skadevaren TypeLib COM-kapring for å etablere persistens og til slutt kjøre en Windows-binærfil kalt insalivation.exe.

Hvis antivirusprogrammet mangler, oppretter skadevaren i stedet en Windows-snarvei som peker til den samme kjørbare filen for å oppnå vedvarende virkning.

ENDELIG NYTTELAST: SIDELOADING AIDE.dll

Det endelige målet er å sidelaste en DLL kalt AIDE.dll. Når den er aktiv, implementerer AIDE.dll tre primære driftsfunksjoner:

  • Kommando og kontroll (C2): kryptert kommunikasjon med en ekstern server for instruksjoner og datautveksling.
  • Hjerteslag: periodisk innsamling av system- og offerinformasjon, inkludert opplisting av kjørende prosesser og kontroll av dem mot en hardkodet liste over sikkerhetsprodukter.
  • Overvåk: bekreftelse av vedvarende aktivitet, sporing av brukeraktivitet og regelmessig beaconing tilbake til C2.

YTTERLIGERE FUNKSJONER OG PLUGINER

C2-modulen støtter eksterne kommandoer for å hente ekstra plugins. Kjente funksjoner inkluderer tastelogging, utklippstavler, skjermovervåking og verktøy designet for å kapre kryptovaluta-lommebøker – spesielt lommebøker som inneholder Ethereum- og Tether-ressurser. Flere plugins som ble observert i disse hendelsene ser ut til å være gjenbrukte komponenter fra Winos-rammeverket og er i stand til kontinuerlig skjermovervåking.

HVORFOR INFEKSJONEN ER VANSKELIG Å OPPDAGE

Fordi installasjonsprogrammet pakker det legitime programmet sammen med den skadelige nyttelasten, vil en bruker som laster ned det som ser ut som et pålitelig program kanskje aldri legge merke til noe galt. Angriperne bevæpnet selv høyt rangerte søkeresultater, noe som øker sjansen for at velmenende brukere installerer de kompromitterte pakkene.

FORSVARSANBEFALINGER

  • Bekreft alltid domenenavn nøye før du laster ned programvare; se etter subtile tegnbytter og URL-er som ikke samsvarer.
  • Foretrekk offisielle leverandørnettsteder eller verifiserte appbutikker fremfor nedlastinger fra søkeresultater.
  • Bruk endepunktbeskyttelse som inspiserer installasjonsprogrammets oppførsel (ikke bare filsignaturer) og aktiver beskyttelse mot DLL-sidelasting og COM-kapring.
  • Overvåk for uvanlig prosessminnebruk og uventet utpakkings-/utpakkingsvirkemåte fra installasjonskomponenter.

KONKLUSJON

Denne kampanjen viser hvordan angripere kombinerer SEO-manipulasjon, dobbeltdomener, omdirigering i flere trinn og sofistikert DLL-basert omgåelse for å sende skadelig programvare i Gh0st-RAT-familien til kinesisktalende brukere. Blandingen av legitime binærfiler og skjulte nyttelaster gjør årvåkenhet viktig: verifiser kilder, gransk domener og bruk forsvar som ser på kjøretidsatferd samt filomdømme.

Trender

Mest sett

Laster inn...