Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Malvér Winos RAT

Malvér Winos RAT

Do roku Mezo v roku Malvér, Nástroje vzdialenej správy
Preložiť do:

Čínsky hovoriaci používatelia sa stali terčom cielenej kampane zameranej na SEO, ktorá nahrádza skutočné stránky na sťahovanie softvéru presvedčivými falzifikátmi. Útočníci pretlačili škodlivé inštalátory cez manipulované vyhľadávacie poradie a takmer identické domény, čo obetiam uľahčilo získanie softvéru, ktorý vyzerá ako legitímny, ale v skutočnosti nasadzuje malvér so vzdialeným prístupom.

AKO KAMPAŇ FUNGUJE

Útočníci z radov falošných stránok vo výsledkoch vyhľadávania zneužívaním SEO pluginov a registráciou podobných domén, ktoré vizuálne napodobňujú legitímnych dodávateľov. Spoliehali sa na nenápadné zámeny znakov a plynulé čínske texty, aby oklamali ľudí a prinútili ich kliknúť. Keď sa obeť dostane na stránku na stiahnutie napadnutú trójskym koňom, inštalačný balík obsahuje očakávanú aplikáciu aj skrytý škodlivý komponent. Táto kombinácia robí detekciu bežnými používateľmi nepravdepodobnou.

CIELE A ČASOVÝ HARMONOGRAM

Výskumníci v auguste 2025 zistili, že kampaň láka predovšetkým používateľov hľadajúcich populárne nástroje na produktivitu a komunikáciu. Medzi príklady vyhľadávacích cieľov používaných na nalákanie obetí patria:

DeepL Preklad

Google Chrome

Signál

Telegram

WhatsApp

Kancelária WPS

ZAPOJENÉ RODINY MALVÉRU

Útoky viedli k nasadeniu variantov súvisiacich s Gh0st RAT, najmä HiddenGh0st a Winos (tiež známy ako ValleyRAT). Winos bol priradený ku klastru kybernetickej kriminality sledovanému pod mnohými aliasmi – Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 a Void Arachne – a predpokladá sa, že je aktívny minimálne od roku 2022.

DODACÍ REŤAZEC – technické zlyhanie

Malý súbor JavaScript s označením nice.js riadi viacstupňové doručovanie. Skript opakovane načítava odpovede JSON: počiatočný odkaz na stiahnutie vráti JSON obsahujúci sekundárny odkaz, tento druhý odkaz vráti ďalší dátový súbor JSON, ktorý nakoniec presmeruje na URL adresu škodlivého inštalátora. Toto vrstvené presmerovanie zahmlieva konečné umiestnenie dátového súboru a komplikuje jednoduchú detekciu.

Vo vnútri inštalátora:

Škodlivá knižnica DLL s názvom EnumW.dll vykoná sadu antianalytických kontrol a potom extrahuje druhú knižnicu DLL (vstdlib.dll). Extrakcia a správanie knižnice vstdlib.dll sú navrhnuté tak, aby zvýšili využitie pamäte a spomalili analytické nástroje, čím sa sťaží automatizovaná alebo manuálna kontrola.

Druhá knižnica DLL rozbalí a spustí hlavný dátový súbor až po overení systému na prítomnosť konkrétneho antivírusového produktu. Ak sa zistí daná antivírusová súčasť, malvér použije únos COM súboru TypeLib na zabezpečenie perzistencie a nakoniec spustí binárny súbor systému Windows s názvom insalivation.exe.

Ak antivírus chýba, malvér namiesto toho vytvorí skratku systému Windows, ktorá odkazuje na rovnaký spustiteľný súbor, aby sa dosiahla trvalosť.

FINÁLNE UŽITOČNÉ ZAŤAŽENIE: SIDELOADING AIDE.dll

Konečným cieľom je načítať knižnicu DLL s názvom AIDE.dll. Po aktivácii AIDE.dll implementuje tri hlavné operačné funkcie:

  • Velenie a riadenie (C2): šifrovaná komunikácia so vzdialeným serverom na účely výmeny pokynov a údajov.
  • Prezenčný test: pravidelný zber informácií o systéme a obetiach vrátane vymenovania spustených procesov a ich porovnávania s pevne zakódovaným zoznamom bezpečnostných produktov.
  • Monitor: potvrdenie vytrvalosti, sledovanie aktivity používateľa a pravidelné spätné vysielanie signálu späť do C2.

ĎALŠIE MOŽNOSTI A PLUGÍNY

Modul C2 podporuje vzdialené príkazy na načítanie ďalších pluginov. Medzi známe funkcie patrí keylogging, zachytávanie zo schránky, monitorovanie obrazovky a nástroje určené na únos kryptomenových peňaženiek – konkrétne peňaženiek obsahujúcich aktíva Ethereum a Tether. Niekoľko pluginov pozorovaných v týchto incidentoch sa javí ako opätovne použité komponenty z frameworku Winos a sú schopné nepretržitého sledovania obrazovky.

PREČO JE INFEKCIU ŤAŽKO ZISTITEĽNÁ

Keďže inštalátor pridáva legitímnu aplikáciu spolu so škodlivým dátovým súborom, používateľ, ktorý si stiahne program, ktorý vyzerá ako dôveryhodný, si nemusí všimnúť nič zlé. Útočníci si ako zbraň vybrali aj vysoko umiestnené výsledky vyhľadávania, čo zvyšuje pravdepodobnosť, že si dobre mienení používatelia nainštalujú napadnuté balíky.

ODPORÚČANIA NA OBRANU

  • Pred stiahnutím softvéru si vždy starostlivo overte názvy domén; hľadajte jemné zámeny znakov a nezhodné adresy URL.
  • Uprednostňujte oficiálne stránky dodávateľov alebo overené obchody s aplikáciami pred sťahovaním z výsledkov vyhľadávania.
  • Používajte ochranu koncových bodov, ktorá kontroluje správanie inštalátora (nielen podpisy súborov) a povoľuje ochranu pred bočným načítaním DLL a únosom COM.
  • Monitorujte nezvyčajné využitie pamäte procesmi a neočakávané správanie pri rozbaľovaní/extrakcii z komponentov inštalátora.

ZÁVER

Táto kampaň ukazuje, ako útočníci kombinujú manipuláciu so SEO, domény podobné virtuálnym počítačom, viacstupňové presmerovanie a sofistikované obchádzanie založené na knižniciach DLL, aby pretlačili malvér z rodiny Gh0st-RAT čínsky hovoriacim používateľom. Kombinácia legitímnych binárnych súborov a skrytých dát si vyžaduje ostražitosť: overujte zdroje, skúmajte domény a používajte obranu, ktorá sa zameriava na správanie za behu, ako aj na reputáciu súborov.

Trendy

Najviac videné

Načítava...