Malware-ul Winos RAT

Utilizatorii de limbă chineză au fost vizați de o campanie SEO concentrată, care înlocuiește paginile reale de descărcare de software cu pagini false convingătoare. Atacatorii au introdus programe de instalare rău intenționate prin clasamente manipulate în căutări și domenii aproape identice, facilitând accesul victimelor la ceea ce pare a fi software legitim, dar care de fapt implementează programe malware cu acces de la distanță.

CUM FUNCȚIONEAZĂ CAMPANIA

Actorii care au atacat site-urile au amplificat afișarea paginilor falsificate în rezultatele căutării prin utilizarea abuzivă a pluginurilor SEO și înregistrarea unor domenii similare care imită vizual furnizorii legitimi. Aceștia s-au bazat pe schimbări subtile de caractere și texte fluent în chineză pentru a păcăli oamenii să dea clic. Odată ce o victimă ajunge pe o pagină de descărcare infectată cu troian, pachetul de instalare conține atât aplicația așteptată, cât și o componentă rău intenționată ascunsă. Această combinație face puțin probabilă detectarea de către utilizatorii ocazionali.

OBIECTIVE ȘI CALENDAR

În august 2025, cercetătorii au descoperit că această campanie atrage în principal utilizatorii care caută instrumente populare de productivitate și comunicare. Exemple de ținte de căutare folosite pentru a atrage victimele includ:

DeepL Traducere

Google Chrome

Semnal

Telegramă

WhatsApp

Biroul WPS

FAMILII DE MALWARE IMPLICATE

Atacurile au dus la implementarea unor variante legate de Gh0st RAT, în special HiddenGh0st și Winos (cunoscut și sub numele de ValleyRAT). Winos a fost atribuit unui cluster de infracțiuni cibernetice urmărit sub mai multe aliasuri - Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 și Void Arachne - și se crede că este activ cel puțin din 2022.

LANȚUL DE LIVRARE — defalcare tehnică

Un mic fișier JavaScript etichetat nice.js orchestrează livrarea în mai mulți pași. Scriptul preia în mod repetat răspunsuri JSON: un link inițial de descărcare returnează JSON care conține un link secundar, iar al doilea link returnează o altă utilă JSON, care în final redirecționează către adresa URL a programului de instalare malițios. Această redirecționare stratificată maschează locația finală a utilă și complică detectarea simplă.

În interiorul programului de instalare:

O DLL malițioasă numită EnumW.dll efectuează un set de verificări anti-analiză și apoi extrage o a doua DLL (vstdlib.dll). Extragerea și comportamentul fișierului vstdlib.dll sunt concepute pentru a crește utilizarea memoriei și a încetini instrumentele de analiză, împiedicând inspecția automată sau manuală.

A doua DLL despachetează și lansează fișierul principal numai după ce verifică prezența unui anumit produs antivirus în sistem. Dacă este detectată componenta antivirus respectivă, malware-ul folosește deturnarea TypeLib COM pentru a stabili persistența și, în cele din urmă, pentru a executa un fișier binar Windows numit insalivation.exe.

Dacă antivirusul lipsește, malware-ul creează în schimb o comandă rapidă în Windows care indică același executabil pentru a obține persistența.

SARCINĂ UTILĂ FINALĂ: ÎNCĂRCARE SIDEALĂ AIDE.dll

Scopul final este de a încărca lateral o DLL numită AIDE.dll. Odată activă, AIDE.dll implementează trei capabilități operaționale principale:

• Comandă și control (C2): comunicații criptate cu un server la distanță pentru instrucțiuni și schimb de date.
• Heartbeat: colectare periodică de informații despre sistem și victime, inclusiv enumerarea proceselor care rulează și verificarea acestora în raport cu o listă hardcoded de produse de securitate.
• Monitorizare: confirmarea persistenței, urmărirea activității utilizatorului și transmiterea regulată de semnalizare înapoi către C2.

CAPACITĂȚI ȘI PLUGINURI SUPLIMENTARE

Modulul C2 acceptă comenzi la distanță pentru a prelua pluginuri suplimentare. Printre capacitățile cunoscute se numără keylogging, captura de clipboard, monitorizarea ecranului și instrumente concepute pentru a deturna portofelele de criptomonede - în special portofele care conțin active Ethereum și Tether. Mai multe pluginuri observate în aceste incidente par a fi componente reutilizate din framework-ul Winos și sunt capabile de supraveghere continuă a ecranului.

DE CE INFECȚIA ESTE GREU DE DETECTAT

Deoarece programul de instalare include aplicația legitimă alături de sarcina utilă malițioasă, un utilizator care descarcă ceea ce pare a fi un program de încredere s-ar putea să nu observe niciodată nimic în neregulă. Atacatorii au folosit ca armă chiar și rezultatele căutărilor de rang înalt, ceea ce crește șansa ca utilizatorii bine intenționați să instaleze pachetele compromise.

RECOMANDĂRI DE APĂRARE

• Verificați întotdeauna cu atenție numele de domeniu înainte de a descărca software; căutați înlocuiri subtile de caractere și adrese URL nepotrivite.
• Preferați site-urile oficiale ale furnizorilor sau magazinele de aplicații verificate, în locul descărcărilor din rezultatele căutării.
• Folosește protecție endpoint care inspectează comportamentul programului de instalare (nu doar semnăturile fișierelor) și activează protecția împotriva încărcării laterale DLL și a deturnării COM.
• Monitorizați utilizarea neobișnuită a memoriei proceselor și comportamentul neașteptat la despachetare/extragere din componentele programului de instalare.

CONCLUZIE

Această campanie arată cum atacatorii combină manipularea SEO, domeniile similare, redirecționarea în mai multe etape și evaziunea sofisticată bazată pe DLL pentru a transmite programe malware din familia Gh0st-RAT utilizatorilor vorbitori de chineză. Amestecul de fișiere binare legitime și sarcini utile ascunse face ca vigilența să fie esențială: verificarea surselor, examinarea domeniilor și utilizarea de apărare care analizează comportamentul la momentul execuției, precum și reputația fișierelor.