Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Malware Winos RAT

Malware Winos RAT

Por Mezo em Malware, Ferramentas de Administração Remota
Traduzir Para:

Usuários de língua chinesa têm sido alvo de uma campanha focada em envenenamento de SEO que substitui páginas de download de software reais por falsificações convincentes. Os invasores direcionavam instaladores maliciosos por meio de classificações de pesquisa manipuladas e domínios quase idênticos, facilitando o acesso das vítimas ao que parece ser um software legítimo, mas que, na verdade, implanta malware de acesso remoto.

COMO A CAMPANHA FUNCIONA

Os autores da ameaça impulsionaram páginas falsas nos resultados de busca, abusando de plugins de SEO e registrando domínios semelhantes que imitam visualmente fornecedores legítimos. Eles se baseavam em trocas sutis de caracteres e textos em chinês fluente para induzir as pessoas a clicarem. Assim que a vítima acessa uma página de download trojanizada, o pacote de instalação contém tanto o aplicativo esperado quanto um componente malicioso oculto. Essa combinação torna improvável a detecção por usuários casuais.

METAS E CRONOGRAMA

Em agosto de 2025, pesquisadores descobriram que a campanha atrai principalmente usuários que buscam ferramentas populares de produtividade e comunicação. Exemplos de alvos de busca usados para atrair vítimas incluem:

Tradutor DeepL

Google Chrome

Sinal

Telegrama

WhatsApp

Escritório WPS

FAMÍLIAS DE MALWARE ENVOLVIDAS

Os ataques levaram à implantação de variantes relacionadas ao Gh0st RAT, notadamente HiddenGh0st e Winos (também conhecido como ValleyRAT). O Winos foi atribuído a um grupo de crimes cibernéticos rastreado sob diversos pseudônimos — Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 e Void Arachne — e acredita-se que esteja ativo desde pelo menos 2022.

A CADEIA DE ENTREGA — falha técnica

Um pequeno arquivo JavaScript denominado nice.js orquestra a entrega em várias etapas. O script busca repetidamente respostas JSON: um link de download inicial retorna um JSON contendo um link secundário, e esse segundo link retorna outro payload JSON, que finalmente redireciona para a URL do instalador malicioso. Esse redirecionamento em camadas ofusca a localização final do payload e complica a detecção simples.

Dentro do instalador:

Uma DLL maliciosa chamada EnumW.dll executa uma série de verificações antianálise e, em seguida, extrai uma segunda DLL (vstdlib.dll). A extração e o comportamento da vstdlib.dll são projetados para inflar o uso de memória e tornar as ferramentas de análise mais lentas, dificultando a inspeção automatizada ou manual.

A segunda DLL descompacta e inicia o payload principal somente após sondar o sistema em busca da presença de um produto antivírus específico. Se esse componente antivírus for detectado, o malware usa o sequestro de COM do TypeLib para estabelecer persistência e, por fim, executar um binário do Windows chamado insalivation.exe.

Se o antivírus estiver ausente, o malware cria um atalho do Windows que aponta para o mesmo executável para obter persistência.

CARGA FINAL: SIDELoadING AIDE.dll

O objetivo final é carregar uma DLL chamada AIDE.dll. Uma vez ativa, a AIDE.dll implementa três recursos operacionais principais:

  • Comando e Controle (C2): comunicações criptografadas com um servidor remoto para instruções e troca de dados.
  • Heartbeat: coleta periódica de informações do sistema e da vítima, incluindo enumeração de processos em execução e verificação deles em relação a uma lista codificada de produtos de segurança.
  • Monitor: confirmação de persistência, rastreamento de atividade do usuário e envio regular de volta ao C2.

RECURSOS E PLUGINS ADICIONAIS

O módulo C2 suporta comandos remotos para buscar plugins extras. Os recursos conhecidos incluem keylogging, captura de área de transferência, monitoramento de tela e ferramentas projetadas para sequestrar carteiras de criptomoedas — especificamente carteiras que armazenam ativos de Ethereum e Tether. Vários plugins observados nesses incidentes parecem ser componentes reutilizados da estrutura Winos e são capazes de monitorar telas continuamente.

POR QUE A INFECÇÃO É DIFÍCIL DE IDENTIFICAR

Como o instalador agrupa o aplicativo legítimo junto com a carga maliciosa, um usuário que baixa um programa aparentemente confiável pode nem perceber nada de errado. Os invasores transformaram até mesmo resultados de busca de alto nível em armas, o que aumenta a chance de usuários bem-intencionados instalarem os pacotes comprometidos.

RECOMENDAÇÕES DE DEFESA

  • Sempre verifique os nomes de domínio cuidadosamente antes de baixar software; procure por substituições sutis de caracteres e URLs incompatíveis.
  • Prefira sites de fornecedores oficiais ou lojas de aplicativos verificadas em vez de downloads de resultados de pesquisa.
  • Use proteção de endpoint que inspeciona o comportamento do instalador (não apenas assinaturas de arquivo) e habilita proteção contra carregamento lateral de DLL e sequestro de COM.
  • Monitore o uso incomum de memória do processo e o comportamento inesperado de descompactação/extração dos componentes do instalador.

CONCLUSÃO

Esta campanha mostra como os invasores combinam manipulação de SEO, domínios semelhantes, redirecionamento em vários estágios e evasão sofisticada baseada em DLL para enviar malware da família Gh0st-RAT para usuários de língua chinesa. A combinação de binários legítimos e payloads ocultos torna a vigilância essencial: verifique as fontes, examine os domínios e use defesas que analisam o comportamento em tempo de execução, bem como a reputação dos arquivos.

Tendendo

Mais visto

Carregando...