Winos RAT Malware
Użytkownicy chińskojęzyczni padli ofiarą kampanii zatruwania SEO, która podmienia prawdziwe strony pobierania oprogramowania na przekonujące podróbki. Atakujący rozpowszechniali złośliwe instalatory za pośrednictwem zmanipulowanych rankingów wyszukiwania i niemal identycznych domen, ułatwiając ofiarom przejęcie oprogramowania, które wygląda na legalne, ale w rzeczywistości instaluje złośliwe oprogramowanie z dostępem zdalnym.
Spis treści
JAK DZIAŁA KAMPANIA
Aktorzy zagrożeń podbijali fałszywe strony w wynikach wyszukiwania, wykorzystując wtyczki SEO i rejestrując domeny imitujące nazwy legalnych dostawców. Polegali na subtelnej zamianie znaków i płynnej, chińskiej wersji, aby nakłonić użytkowników do kliknięcia. Gdy ofiara trafi na zainfekowaną trojanem stronę pobierania, pakiet instalacyjny zawiera zarówno oczekiwaną aplikację, jak i ukryty złośliwy komponent. To połączenie sprawia, że wykrycie przez zwykłych użytkowników jest mało prawdopodobne.
CELE I HARMONOGRAM
W sierpniu 2025 roku badacze odkryli, że kampania wabi przede wszystkim użytkowników poszukujących popularnych narzędzi do produktywności i komunikacji. Przykłady wyszukiwań wykorzystywanych do wabienia ofiar obejmują:
DeepL Tłumacz
Google Chrome
Sygnał
Telegram
Biuro WPS
ZAANGAŻOWANE RODZINY OPROGRAMOWANIA ZŁOŚLIWEGO
Ataki doprowadziły do wdrożenia wariantów powiązanych z Gh0st RAT, zwłaszcza HiddenGh0st i Winos (znanego również jako ValleyRAT). Winos został przypisany do grupy cyberprzestępców śledzonej pod wieloma pseudonimami – Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 i Void Arachne – i uważa się, że był aktywny co najmniej od 2022 roku.
ŁAŃCUCH DOSTAW — awaria techniczna
Mały plik JavaScript o nazwie nice.js koordynuje wieloetapową dostawę. Skrypt wielokrotnie pobiera odpowiedzi JSON: początkowy link do pobrania zwraca JSON zawierający link wtórny, ten drugi link zwraca kolejny ładunek JSON, który ostatecznie przekierowuje do adresu URL złośliwego instalatora. To wielowarstwowe przekierowanie zarówno zaciemnia ostateczną lokalizację ładunku, jak i komplikuje proste wykrywanie.
Wewnątrz instalatora:
Złośliwa biblioteka DLL o nazwie EnumW.dll wykonuje serię kontroli antyanalizy, a następnie wyodrębnia drugą bibliotekę DLL (vstdlib.dll). Ekstrakcja i działanie vstdlib.dll mają na celu zwiększenie wykorzystania pamięci i spowolnienie narzędzi analitycznych, co utrudnia automatyczną lub ręczną inspekcję.
Druga biblioteka DLL rozpakowuje i uruchamia główny ładunek dopiero po przeskanowaniu systemu pod kątem obecności określonego programu antywirusowego. Jeśli ten składnik antywirusowy zostanie wykryty, złośliwe oprogramowanie wykorzystuje przejęcie kontroli nad biblioteką TypeLib COM, aby zapewnić trwałość i ostatecznie uruchomić plik binarny systemu Windows o nazwie insalivation.exe.
Jeśli program antywirusowy nie jest zainstalowany, złośliwe oprogramowanie tworzy skrót do systemu Windows, który wskazuje na ten sam plik wykonywalny, aby zapewnić sobie trwałość.
KOŃCOWY ŁADUNEK: SIDELoadING AIDE.dll
Docelowo ma to na celu załadowanie biblioteki DLL o nazwie AIDE.dll. Po aktywacji biblioteka AIDE.dll realizuje trzy podstawowe funkcje operacyjne:
- Command-and-Control (C2): szyfrowana komunikacja ze zdalnym serwerem w celu przekazywania instrukcji i wymiany danych.
- Heartbeat: okresowe zbieranie informacji o systemie i ofierze, obejmujące wyliczanie uruchomionych procesów i sprawdzanie ich na podstawie zakodowanej na stałe listy produktów zabezpieczających.
- Monitorowanie: potwierdzenie trwałości, śledzenie aktywności użytkownika i regularne przesyłanie sygnału do C2.
DODATKOWE MOŻLIWOŚCI I WTYCZKI
Moduł C2 obsługuje zdalne polecenia pobierania dodatkowych wtyczek. Znane funkcje obejmują keylogger, przechwytywanie zawartości schowka, monitorowanie ekranu oraz narzędzia do przechwytywania portfeli kryptowalut – w szczególności portfeli przechowujących aktywa Ethereum i Tether. Kilka wtyczek zaobserwowanych w tych incydentach wydaje się być ponownie wykorzystanymi komponentami z frameworka Winos i umożliwia ciągły nadzór ekranu.
DLACZEGO TRUDNO WYKRYĆ ZAKAŻENIE
Ponieważ instalator dołącza legalną aplikację do szkodliwego kodu, użytkownik pobierający program, który wygląda na zaufany, może nie zauważyć niczego niepokojącego. Atakujący wykorzystali nawet wysoko w rankingu wyniki wyszukiwania, co zwiększa prawdopodobieństwo, że użytkownicy o dobrych intencjach zainstalują zainfekowane pakiety.
ZALECENIA DOTYCZĄCE OBRONNOŚCI
- Zawsze sprawdzaj dokładnie nazwy domen przed pobraniem oprogramowania; zwracaj uwagę na subtelne zamienniki znaków i niezgodne adresy URL.
- Wybieraj oficjalne strony dostawców lub sprawdzone sklepy z aplikacjami, a nie pobieraj aplikacje z wyników wyszukiwania.
- Użyj ochrony punktu końcowego, która sprawdza zachowanie instalatora (a nie tylko podpisy plików) i włącz ochronę przed bocznym ładowaniem bibliotek DLL i przechwytywaniem COM.
WNIOSEK
Ta kampania pokazuje, jak atakujący łączą manipulację SEO, podobne domeny, wieloetapowe przekierowania i wyrafinowane metody obejścia zabezpieczeń oparte na bibliotekach DLL, aby rozpowszechniać złośliwe oprogramowanie z rodziny Gh0st-RAT wśród użytkowników chińskojęzycznych. Połączenie legalnych plików binarnych i ukrytych ładunków sprawia, że czujność jest niezbędna: weryfikuj źródła, analizuj domeny i stosuj zabezpieczenia analizujące zachowanie w czasie wykonywania oraz reputację plików.
