Winos RAT मालवेयर

चिनियाँ भाषाका प्रयोगकर्ताहरूलाई एक केन्द्रित SEO-विषाक्त अभियानद्वारा लक्षित गरिएको छ जसले वास्तविक सफ्टवेयर डाउनलोड पृष्ठहरूलाई विश्वासयोग्य नक्कलीहरूसँग प्रतिस्थापन गर्दछ। आक्रमणकारीहरूले हेरफेर गरिएको खोज श्रेणीकरण र लगभग समान डोमेनहरू मार्फत दुर्भावनापूर्ण स्थापनाकर्ताहरूलाई धकेले, जसले पीडितहरूलाई वैध सफ्टवेयर जस्तो देखिने तर वास्तवमा रिमोट-पहुँच मालवेयर तैनाथ गर्ने कुराहरू कब्जा गर्न सजिलो बनायो।

अभियान कसरी काम गर्छ

धम्की दिने कलाकारहरूले SEO प्लगइनहरूको दुरुपयोग गरेर र वैध विक्रेताहरूको नक्कल गर्ने देखिने डोमेनहरू दर्ता गरेर खोज परिणामहरूमा नक्कली पृष्ठहरूलाई बढावा दिए। तिनीहरूले मानिसहरूलाई क्लिक गर्न मूर्ख बनाउन सूक्ष्म क्यारेक्टर स्व्याप र धाराप्रवाह चिनियाँ प्रतिलिपिमा भर परे। एक पटक पीडित ट्रोजनाइज्ड डाउनलोड पृष्ठमा अवतरण गरेपछि, स्थापना प्याकेजमा अपेक्षित अनुप्रयोग र लुकेको मालिसियस कम्पोनेन्ट दुवै हुन्छ। यो मिश्रणले अनौपचारिक प्रयोगकर्ताहरू द्वारा पत्ता लगाउन असम्भव बनाउँछ।

लक्ष्य र समयरेखा

अगस्ट २०२५ मा अनुसन्धानकर्ताहरूले पत्ता लगाए कि अभियानले मुख्यतया लोकप्रिय उत्पादकता र सञ्चार उपकरणहरू खोज्ने प्रयोगकर्ताहरूलाई लोभ्याउँछ। पीडितहरूलाई फसाउन प्रयोग गरिने खोज लक्ष्यहरूको उदाहरणहरू समावेश छन्:

DeepL अनुवाद

गुगल क्रोम

सिग्नल

टेलिग्राम

व्हाट्सएप

WPS कार्यालय

मालवेयर परिवारहरू संलग्न छन्

आक्रमणहरूले Gh0st RAT सँग सम्बन्धित भेरियन्टहरू, विशेष गरी HiddenGh0st र Winos (जसलाई ValleyRAT पनि भनिन्छ) को तैनाथी निम्त्यायो। Winos लाई धेरै उपनामहरू अन्तर्गत ट्र्याक गरिएको साइबर अपराध क्लस्टरको रूपमा जिम्मेवार ठहराइएको छ - सिल्भर फक्स, स्विमस्नेक, द ग्रेट थिफ अफ भ्याली (भ्याली थिफ), UTG-Q-1000, र Void Arachne - र कम्तिमा २०२२ देखि सक्रिय रहेको विश्वास गरिन्छ।

डेलिभरी चेन - प्राविधिक बिग्रिएको

nice.js लेबल गरिएको सानो JavaScript फाइलले बहु-चरण डेलिभरीलाई व्यवस्थित गर्दछ। स्क्रिप्टले बारम्बार JSON प्रतिक्रियाहरू ल्याउँछ: प्रारम्भिक डाउनलोड लिङ्कले माध्यमिक लिङ्क भएको JSON फर्काउँछ, त्यो दोस्रो लिङ्कले अर्को JSON पेलोड फर्काउँछ, जुन अन्ततः दुर्भावनापूर्ण स्थापनाकर्ता URL मा रिडिरेक्ट हुन्छ। यो स्तरित रिडिरेक्शनले अन्तिम पेलोड स्थानलाई अस्पष्ट बनाउँछ र सरल पत्ता लगाउने प्रक्रियालाई जटिल बनाउँछ।

स्थापनाकर्ता भित्र:

EnumW.dll नामक दुर्भावनापूर्ण DLL ले एन्टी-विश्लेषण जाँचहरूको सेट गर्छ र त्यसपछि दोस्रो DLL (vstdlib.dll) निकाल्छ। vstdlib.dll को निकासी र व्यवहार मेमोरी प्रयोग र ढिलो विश्लेषण उपकरण बढाउनको लागि डिजाइन गरिएको हो, जसले स्वचालित वा म्यानुअल निरीक्षणमा बाधा पुर्‍याउँछ।

दोस्रो DLL ले प्रणालीमा विशिष्ट एन्टिभाइरस उत्पादनको उपस्थितिको लागि जाँच गरेपछि मात्र मुख्य पेलोड अनप्याक गर्छ र सुरु गर्छ। यदि त्यो AV कम्पोनेन्ट पत्ता लाग्यो भने, मालवेयरले टिकाउपन स्थापित गर्न र अन्ततः insalivation.exe नामक विन्डोज बाइनरी कार्यान्वयन गर्न TypeLib COM अपहरण प्रयोग गर्दछ।

यदि एन्टिभाइरस अनुपस्थित छ भने, मालवेयरले विन्डोज सर्टकट सिर्जना गर्दछ जुन स्थिरता प्राप्त गर्न उही कार्यान्वयनयोग्यमा औंल्याउँछ।

अन्तिम पेलोड: SIDELoading AIDE.dll

अन्तिम उद्देश्य AIDE.dll भनिने DLL लाई साइडलोड गर्नु हो। एक पटक सक्रिय भएपछि, AIDE.dll ले तीन प्राथमिक सञ्चालन क्षमताहरू लागू गर्दछ:

• कमाण्ड-एण्ड-कन्ट्रोल (C2): निर्देशन र डेटा आदानप्रदानको लागि रिमोट सर्भरसँग इन्क्रिप्टेड सञ्चार।
• मुटुको धड्कन: प्रणाली र पीडित जानकारीको आवधिक सङ्कलन, जसमा चलिरहेको प्रक्रियाहरूको गणना गर्ने र सुरक्षा उत्पादनहरूको हार्ड-कोड गरिएको सूची विरुद्ध तिनीहरूलाई जाँच गर्ने समावेश छ।
• मनिटर: दृढताको पुष्टिकरण, प्रयोगकर्ता-गतिविधि ट्र्याकिङ, र C2 मा नियमित रूपमा बिकनिङ।

अतिरिक्त क्षमताहरू र प्लगइनहरू

C2 मोड्युलले अतिरिक्त प्लगइनहरू ल्याउन रिमोट कमाण्डहरूलाई समर्थन गर्दछ। ज्ञात क्षमताहरूमा किलगिङ, क्लिपबोर्ड क्याप्चर, स्क्रिन निगरानी, र क्रिप्टोकरेन्सी वालेटहरू अपहरण गर्न डिजाइन गरिएका उपकरणहरू समावेश छन् - विशेष गरी इथेरियम र टेथर सम्पत्तिहरू राख्ने वालेटहरू। यी घटनाहरूमा देखिएका धेरै प्लगइनहरू Winos फ्रेमवर्कबाट पुन: प्रयोग गरिएका घटकहरू देखिन्छन् र निरन्तर स्क्रिन निगरानी गर्न सक्षम छन्।

संक्रमण किन पत्ता लगाउन गाह्रो छ?

इन्स्टलरले वैध एप्लिकेसनलाई मालिसियस पेलोडसँगै बन्डल गर्ने भएकोले, विश्वसनीय प्रोग्राम जस्तो देखिने कुरा डाउनलोड गर्ने प्रयोगकर्ताले कहिल्यै पनि केहि गलत याद गर्न सक्दैन। आक्रमणकारीहरूले उच्च-स्तरीय खोज परिणामहरूलाई पनि हतियार बनाए, जसले गर्दा राम्रो मनसाय भएका प्रयोगकर्ताहरूले सम्झौता गरिएका प्याकेजहरू स्थापना गर्ने सम्भावना बढ्छ।

रक्षा सिफारिसहरू

• सफ्टवेयर डाउनलोड गर्नु अघि सधैं डोमेन नामहरू सावधानीपूर्वक प्रमाणित गर्नुहोस्; सूक्ष्म वर्ण प्रतिस्थापन र बेमेल URL हरू खोज्नुहोस्।
• खोज परिणामहरूबाट डाउनलोड गर्नुको सट्टा आधिकारिक विक्रेता साइटहरू वा प्रमाणित एप स्टोरहरूलाई प्राथमिकता दिनुहोस्।
• इन्स्टलर व्यवहार (फाइल हस्ताक्षर मात्र होइन) निरीक्षण गर्ने एन्डपोइन्ट सुरक्षा प्रयोग गर्नुहोस् र DLL साइडलोडिङ र COM अपहरण विरुद्ध सुरक्षा सक्षम गर्नुहोस्।
• स्थापनाकर्ता कम्पोनेन्टहरूबाट असामान्य प्रक्रिया मेमोरी प्रयोग र अप्रत्याशित अनप्याकिङ/निकासी व्यवहारको निगरानी गर्नुहोस्।

निष्कर्ष

यो अभियानले आक्रमणकारीहरूले कसरी SEO हेरफेर, देखिने डोमेनहरू, बहु-चरण पुनर्निर्देशन, र परिष्कृत DLL-आधारित चोरीलाई Gh0st-RAT-परिवार मालवेयरलाई चिनियाँ भाषी प्रयोगकर्ताहरूमा धकेल्न संयोजन गर्छन् भनेर देखाउँछ। वैध बाइनरीहरू र लुकेका पेलोडहरूको मिश्रणले सतर्कतालाई आवश्यक बनाउँछ: स्रोतहरू प्रमाणित गर्नुहोस्, डोमेनहरू जाँच गर्नुहोस्, र रनटाइम व्यवहार साथै फाइल प्रतिष्ठा हेर्ने प्रतिरक्षाहरू प्रयोग गर्नुहोस्।