Вредоносное ПО Winos RAT

Китайские пользователи стали жертвами целенаправленной кампании по SEO-отравлению, которая подменяет реальные страницы загрузки программного обеспечения убедительными подделками. Злоумышленники продвигали вредоносные установщики через поддельные поисковые рейтинги и практически идентичные домены, что позволяло жертвам легко получить то, что выглядит как легальное ПО, но на самом деле запускает вредоносное ПО с удалённым доступом.

КАК РАБОТАЕТ КАМПАНИЯ

Злоумышленники увеличивали количество поддельных страниц в результатах поиска, злоупотребляя SEO-плагинами и регистрируя похожие домены, визуально имитирующие сайты легальных поставщиков. Они использовали скрытую подмену символов и быструю китайскую версию, чтобы обманом заставить пользователей кликнуть по ссылке. Когда жертва попадает на троянизированную страницу загрузки, установочный пакет содержит как ожидаемое приложение, так и скрытый вредоносный компонент. Такое сочетание делает обнаружение случайными пользователями маловероятным.

ЦЕЛИ И СРОКИ

В августе 2025 года исследователи обнаружили, что кампания в первую очередь привлекает пользователей, ищущих популярные инструменты для повышения производительности и общения. Примеры целей поиска, используемых для привлечения жертв, включают:

DeepL Переводчик

Гугл Хром

Сигнал

Телеграмма

WhatsApp

Офис WPS

Вовлеченные семейства вредоносных программ

Атаки привели к появлению модификаций, связанных с Gh0st RAT, в частности, HiddenGh0st и Winos (также известного как ValleyRAT). Winos приписывается кластеру киберпреступников, отслеживаемому под многими псевдонимами — Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 и Void Arachne, — и, как считается, действует как минимум с 2022 года.

ЦЕПОЧКА ПОСТАВОК — технический сбой

Небольшой JavaScript-файл nice.js организует многоэтапную доставку. Скрипт многократно получает JSON-ответы: начальная ссылка для загрузки возвращает JSON-файл, содержащий вторичную ссылку, эта вторая ссылка возвращает ещё один JSON-файл, который в конечном итоге перенаправляет на URL вредоносного установщика. Такое многоуровневое перенаправление скрывает конечное местоположение полезной нагрузки и усложняет простое обнаружение.

Внутри установщика:

Вредоносная DLL-библиотека EnumW.dll выполняет набор проверок на антианализ, а затем извлекает вторую DLL-библиотеку (vstdlib.dll). Извлечение и поведение vstdlib.dll направлены на увеличение потребления памяти и замедление работы инструментов анализа, затрудняя автоматическую или ручную проверку.

Вторая DLL-библиотека распаковывает и запускает основную полезную нагрузку только после проверки системы на наличие определённого антивирусного продукта. При обнаружении этого антивирусного компонента вредоносная программа использует подмену COM-объекта TypeLib для обеспечения устойчивости и в конечном итоге запускает исполняемый файл Windows с именем insalivation.exe.

Если антивирус отсутствует, вредоносная программа вместо этого создает ярлык Windows, указывающий на тот же исполняемый файл, чтобы обеспечить себе устойчивость.

КОНЕЧНАЯ ПОЛЕЗНАЯ НАГРУЗКА: БОКОВАЯ ЗАГРУЗКА AIDE.dll

Конечная цель — загрузить DLL-библиотеку AIDE.dll. После активации AIDE.dll реализует три основные операционные возможности:

• Управление и контроль (C2): зашифрованная связь с удаленным сервером для обмена инструкциями и данными.
• Heartbeat: периодический сбор информации о системе и жертве, включая перечисление запущенных процессов и их проверку по жестко заданному списку продуктов безопасности.
• Мониторинг: подтверждение персистентности, отслеживание активности пользователя и регулярная отправка сигналов обратно на C2.

ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ И ПЛАГИНЫ

Модуль C2 поддерживает удалённые команды для загрузки дополнительных плагинов. Известные возможности включают в себя кейлоггерство, захват буфера обмена, мониторинг экрана и инструменты, предназначенные для взлома криптовалютных кошельков, в частности, кошельков с активами Ethereum и Tether. Несколько плагинов, обнаруженных в этих инцидентах, по-видимому, являются повторно используемыми компонентами фреймворка Winos и способны осуществлять непрерывное наблюдение за экраном.

ПОЧЕМУ ИНФЕКЦИЮ ТРУДНО ОБНАРУЖИТЬ

Поскольку установщик объединяет легитимное приложение с вредоносной нагрузкой, пользователь, загружающий то, что выглядит как доверенная программа, может даже не заметить ничего подозрительного. Злоумышленники использовали в качестве оружия даже высокие позиции в результатах поиска, что повышает вероятность того, что добросовестные пользователи установят скомпрометированные пакеты.

РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ

• Всегда тщательно проверяйте доменные имена перед загрузкой программного обеспечения; обращайте внимание на скрытые замены символов и несоответствующие URL-адреса.
• Отдавайте предпочтение официальным сайтам поставщиков или проверенным магазинам приложений, а не загрузкам из результатов поиска.
• Используйте защиту конечных точек, которая проверяет поведение установщика (а не только сигнатуры файлов) и включает защиту от загрузки сторонних DLL и перехвата COM.
• Отслеживайте необычное использование памяти процессами и неожиданное поведение распаковки/извлечения из компонентов установщика.

ЗАКЛЮЧЕНИЕ

Эта кампания демонстрирует, как злоумышленники сочетают SEO-манипулирование, использование доменов-двойников, многоступенчатую переадресацию и изощрённые методы обхода блокировки на основе DLL, чтобы распространять вредоносное ПО семейства Gh0st-RAT среди пользователей, говорящих по-китайски. Сочетание легитимных двоичных файлов и скрытых полезных нагрузок требует бдительности: проверяйте источники, проверяйте домены и используйте средства защиты, отслеживающие поведение во время выполнения, а также репутацию файлов.