Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware Winos RAT-malware

Winos RAT-malware

Tegen Mezo in Malware, Hulpmiddelen voor extern beheer
Vertalen naar:

Chineestalige gebruikers zijn het doelwit geworden van een gerichte SEO-poging die echte softwaredownloadpagina's vervangt door overtuigende neppagina's. Aanvallers hebben kwaadaardige installatieprogramma's via gemanipuleerde zoekresultaten en bijna identieke domeinen gepusht, waardoor slachtoffers gemakkelijk legitieme software konden bemachtigen, maar in werkelijkheid malware voor externe toegang konden installeren.

HOE DE CAMPAGNE WERKT

De aanvallers versterkten de positie van vervalste pagina's in zoekresultaten door SEO-plug-ins te misbruiken en lookalike-domeinen te registreren die legitieme aanbieders visueel nabootsen. Ze vertrouwden op subtiele karakterwisselingen en vloeiende Chinese tekst om mensen te verleiden te klikken. Zodra een slachtoffer op een trojan-downloadpagina terechtkomt, bevat het installatiepakket zowel de verwachte applicatie als een verborgen kwaadaardige component. Deze combinatie maakt detectie door gewone gebruikers onwaarschijnlijk.

DOELEN EN TIJDLIJN

Onderzoekers ontdekten in augustus 2025 dat de campagne voornamelijk gebruikers lokt die op zoek zijn naar populaire productiviteits- en communicatietools. Voorbeelden van zoekdoelen die worden gebruikt om slachtoffers te lokken zijn:

DeepL Vertalen

Google Chrome

Signaal

Telegram

WhatsApp

WPS-kantoor

BETROKKEN MALWARE-FAMILIES

De aanvallen leidden tot de implementatie van varianten gerelateerd aan Gh0st RAT, met name HiddenGh0st en Winos (ook bekend als ValleyRAT). Winos wordt toegeschreven aan een cybercrime-cluster dat onder vele aliassen wordt gevolgd – Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 en Void Arachne – en zou al sinds minstens 2022 actief zijn.

DE LEVERINGSKETEN — technische storing

Een klein JavaScript-bestand met de naam nice.js orkestreert de levering in meerdere stappen. Het script haalt herhaaldelijk JSON-reacties op: een eerste downloadlink retourneert JSON met een secundaire link, die tweede link retourneert een andere JSON-payload, die uiteindelijk doorverwijst naar de URL van de kwaadaardige installer. Deze gelaagde doorverwijzing verhult de uiteindelijke locatie van de payload en bemoeilijkt eenvoudige detectie.

In het installatieprogramma:

Een schadelijke DLL met de naam EnumW.dll voert een reeks anti-analysecontroles uit en extraheert vervolgens een tweede DLL (vstdlib.dll). De extractie en het gedrag van vstdlib.dll zijn ontworpen om het geheugengebruik te verhogen en analysetools te vertragen, waardoor automatische of handmatige inspectie wordt bemoeilijkt.

De tweede DLL pakt de hoofdpayload uit en start deze pas nadat het systeem is onderzocht op de aanwezigheid van een specifiek antivirusproduct. Als dat antivirusonderdeel wordt gedetecteerd, gebruikt de malware TypeLib COM-kaping om persistentie te creëren en uiteindelijk een Windows-bestand met de naam insalivation.exe uit te voeren.

Als er geen antivirusprogramma aanwezig is, creëert de malware een Windows-snelkoppeling die naar hetzelfde uitvoerbare bestand verwijst om persistentie te garanderen.

EINDPAYLOAD: SIDELoadING AIDE.dll

Het uiteindelijke doel is om een DLL genaamd AIDE.dll te sideloaden. Eenmaal actief, implementeert AIDE.dll drie primaire operationele mogelijkheden:

  • Command-and-Control (C2): gecodeerde communicatie met een externe server voor instructies en gegevensuitwisseling.
  • Heartbeat: periodieke verzameling van systeem- en slachtofferinformatie, inclusief het opsommen van actieve processen en het controleren daarvan aan de hand van een vastgelegde lijst met beveiligingsproducten.
  • Monitoren: bevestiging van persistentie, volgen van gebruikersactiviteit en regelmatige terugkoppeling naar de C2.

EXTRA MOGELIJKHEDEN EN PLUGINS

De C2-module ondersteunt opdrachten op afstand om extra plug-ins op te halen. Bekende mogelijkheden zijn onder andere keylogging, klembordopnames, schermbewaking en tools die ontworpen zijn om cryptowallets te kapen – met name wallets met Ethereum- en Tether-tegoeden. Verschillende plug-ins die bij deze incidenten zijn waargenomen, lijken hergebruikte componenten van het Winos-framework te zijn en zijn in staat tot continue schermbewaking.

WAAROM DE INFECTIE MOEILIJK TE ONTDEKKEN IS

Omdat het installatieprogramma de legitieme applicatie bundelt met de schadelijke payload, merkt een gebruiker die een programma downloadt dat er vertrouwd uitziet, mogelijk niets vreemds. De aanvallers hebben zelfs hooggeplaatste zoekresultaten gemanipuleerd, waardoor de kans groter is dat goedbedoelende gebruikers de gecompromitteerde pakketten installeren.

AANBEVELINGEN VOOR DEFENSIE

  • Controleer domeinnamen altijd zorgvuldig voordat u software downloadt. Let op subtiele tekenvervangingen en niet-overeenkomende URL's.
  • Geef de voorkeur aan officiële leveranciersites of geverifieerde app-winkels in plaats van downloads via zoekresultaten.
  • Gebruik eindpuntbeveiliging die het gedrag van het installatieprogramma controleert (niet alleen bestandshandtekeningen) en schakel beveiliging in tegen DLL-sideloading en COM-kaping.
  • Controleer op ongebruikelijk procesgeheugengebruik en onverwacht uitpak-/extractiegedrag van installatiecomponenten.

    • CONCLUSIE

    Deze campagne laat zien hoe aanvallers SEO-manipulatie, lookalike-domeinen, multi-stage redirection en geavanceerde DLL-gebaseerde ontwijking combineren om malware uit de Gh0st-RAT-familie naar Chineestalige gebruikers te pushen. De combinatie van legitieme binaire bestanden en verborgen payloads maakt waakzaamheid essentieel: verifieer bronnen, onderzoek domeinen en gebruik verdedigingsmechanismen die kijken naar runtime-gedrag en bestandsreputatie.

    Trending

    Meest bekeken

    Bezig met laden...