Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zlonamerna programska oprema Winos RAT

Zlonamerna programska oprema Winos RAT

Do leta Mezo leta Zlonamerna programska oprema, Orodja za oddaljeno upravljanje
Prevedi v:

Kitajsko govoreči uporabniki so bili tarča osredotočene kampanje zastrupljanja s SEO, ki nadomešča prave strani za prenos programske opreme s prepričljivimi ponaredki. Napadalci so zlonamerne namestitvene programe potiskali prek manipuliranih uvrstitev v iskalnikih in skoraj identičnih domen, kar žrtvam olajša pridobivanje programske opreme, ki je videti kot legitimna, v resnici pa uporablja zlonamerno programsko opremo za oddaljeni dostop.

KAKO DELUJE KAMPANJA

Grožnje so v rezultatih iskanja povečale število ponarejenih strani z zlorabo vtičnikov za SEO in registracijo domen, ki so vizualno posnemale legitimne prodajalce. Zanašali so se na subtilne zamenjave znakov in tekoče kitajsko besedilo, da bi ljudi zavedli do klika. Ko žrtev pristane na strani za prenos, okuženi s trojanskim konjem, namestitveni paket vsebuje tako pričakovano aplikacijo kot skrito zlonamerno komponento. Zaradi te kombinacije je zaznavanje s strani običajnih uporabnikov malo verjetno.

CILJI IN ČASOVNICA

Raziskovalci so avgusta 2025 odkrili, da kampanja v prvi vrsti privablja uporabnike, ki iščejo priljubljena orodja za produktivnost in komunikacijo. Primeri iskalnih ciljev, ki se uporabljajo za privabljanje žrtev, vključujejo:

DeepL Prevajalnik

Google Chrome

Signal

Telegram

WhatsApp

Pisarna WPS

VKLJUČENE DRUŽINE ZLONAMERNE PROGRAMSKE OPREME

Napadi so privedli do uvedbe različic, povezanih z Gh0st RAT, zlasti HiddenGh0st in Winos (znan tudi kot ValleyRAT). Winos je bil pripisan skupini kibernetske kriminalitete, ki jo spremljajo pod številnimi vzdevki – Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 in Void Arachne – in naj bi bil aktiven vsaj od leta 2022.

DOSTAVNA VERIGA – tehnična okvara

Majhna datoteka JavaScript z oznako nice.js orkestrira večstopenjsko dostavo. Skript večkrat pridobi odgovore JSON: začetna povezava za prenos vrne JSON, ki vsebuje sekundarno povezavo, ta druga povezava pa vrne še en koristni tovor JSON, ki na koncu preusmeri na URL zlonamernega namestitvenega programa. Ta večplastna preusmeritev zakrije končno lokacijo koristnega tovora in otežuje preprosto zaznavanje.

V namestitvenem programu:

Zlonamerna DLL datoteka z imenom EnumW.dll izvede niz preverjanj proti analizi in nato ekstrahira drugo DLL datoteko (vstdlib.dll). Ekstrakcija in delovanje datoteke vstdlib.dll sta zasnovana tako, da povečata porabo pomnilnika in upočasnita orodja za analizo, kar ovira avtomatiziran ali ročni pregled.

Druga knjižnica DLL razpakira in zažene glavni koristni nabor šele po preverjanju sistema glede prisotnosti določenega protivirusnega izdelka. Če je ta protivirusna komponenta zaznana, zlonamerna programska oprema uporabi ugrabitev COM-a TypeLib, da vzpostavi obstojnost in sčasoma izvede binarno datoteko sistema Windows z imenom insalivation.exe.

Če protivirusnega programa ni, zlonamerna programska oprema namesto tega ustvari bližnjico sistema Windows, ki kaže na isto izvedljivo datoteko, da doseže obstojnost.

KONČNI KORISTNI NOS: SIDELOADING AIDE.dll

Končni cilj je naložiti DLL z imenom AIDE.dll. Ko je AIDE.dll aktiven, izvaja tri glavne operativne zmogljivosti:

  • Upravljanje in nadzor (C2): šifrirana komunikacija z oddaljenim strežnikom za izmenjavo navodil in podatkov.
  • Srčni utrip: periodično zbiranje informacij o sistemu in žrtvah, vključno s naštevanjem delujočih procesov in njihovim preverjanjem glede na trdo kodiran seznam varnostnih izdelkov.
  • Spremljanje: potrditev vztrajnosti, sledenje dejavnosti uporabnikov in redno sporočanje informacij C2.

DODATNE ZMOŽNOSTI IN VTIČNIKI

Modul C2 podpira oddaljene ukaze za pridobivanje dodatnih vtičnikov. Med znane zmogljivosti spadajo beleženje tipk, zajem odložišča, spremljanje zaslona in orodja, namenjena ugrabitvi denarnic s kriptovalutami – zlasti denarnic, ki hranijo sredstva Ethereum in Tether. Zdi se, da je več vtičnikov, opaženih v teh incidentih, ponovno uporabljenih komponent iz ogrodja Winos in so sposobni neprekinjenega nadzora zaslona.

ZAKAJ JE OKUŽBO TEŽKO OPAZITI

Ker namestitveni program skupaj z zlonamerno programsko opremo priloži tudi legitimno aplikacijo, uporabnik, ki prenaša program, ki je videti kot zaupanja vreden, morda sploh ne bo opazil ničesar nenavadnega. Napadalci so celo visoko uvrščene rezultate iskanja uporabili kot orožje, kar povečuje možnost, da bodo dobronamerni uporabniki namestili ogrožene pakete.

PRIPOROČILA ZA OBRAMBO

  • Pred prenosom programske opreme vedno skrbno preverite imena domen; bodite pozorni na subtilne zamenjave znakov in neujemajoče se URL-je.
  • Raje izberite uradna spletna mesta prodajalcev ali preverjene trgovine z aplikacijami kot prenose iz rezultatov iskanja.
  • Uporabite zaščito končnih točk, ki pregleda delovanje namestitvenega programa (ne le podpisov datotek) in omogočite zaščito pred stranskim nalaganjem DLL in ugrabitvijo COM.
  • Spremljajte nenavadno porabo pomnilnika procesov in nepričakovano vedenje pri razpakiranju/ekstrakciji iz komponent namestitvenega programa.

ZAKLJUČEK

Ta kampanja prikazuje, kako napadalci kombinirajo manipulacijo SEO, domene, ki so podobne domenam, večstopenjsko preusmeritev in sofisticirano izogibanje na podlagi DLL, da bi kitajsko govorečim uporabnikom vsiljevali zlonamerno programsko opremo družine Gh0st-RAT. Zaradi mešanice legitimnih binarnih datotek in skritih koristnih vsebin je bistvena budnost: preverjajte vire, preučujte domene in uporabljajte obrambe, ki spremljajo tako delovanje kot ugled datotek.

V trendu

Najbolj gledan

Nalaganje...