Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware Winos RAT Malware

Winos RAT Malware

Nga MezoMalware, Mjetet e administrimit në distancë
Përkthe në:

Përdoruesit e gjuhës kineze janë vënë në shënjestër të një fushate të fokusuar në helmimin e SEO-së, e cila zëvendëson faqet e shkarkimit të softuerëve të vërtetë me faqe të rreme bindëse. Sulmuesit i shtynë instaluesit keqdashës përmes renditjeve të manipuluara të kërkimit dhe domeneve pothuajse identike, duke ua bërë të lehtë viktimave të kapin atë që duket si softuer i ligjshëm, por në të vërtetë vendos malware me qasje në distancë.

SI FUNKSIONON FUSHATA

Aktorët kërcënues rritën faqet e falsifikuara në rezultatet e kërkimit duke abuzuar me shtojcat SEO dhe duke regjistruar domene të ngjashme që imitonin vizualisht shitësit legjitimë. Ata mbështeteshin në shkëmbime delikate të karaktereve dhe tekste të rrjedhshme kineze për të mashtruar njerëzit që të klikonin. Pasi një viktimë bie në një faqe shkarkimi të infektuar me trojan, paketa e instalimit përmban si aplikacionin e pritur ashtu edhe një komponent të fshehur keqdashës. Ky kombinim e bën të pamundur zbulimin nga përdoruesit e rastësishëm.

OBJEKTIVAT DHE AFATET KRONORË

Studiuesit në gusht 2025 zbuluan se fushata kryesisht josh përdoruesit që kërkojnë mjete të njohura produktiviteti dhe komunikimi. Shembuj të objektivave të kërkimit të përdorura për të joshur viktimat përfshijnë:

Përkthimi i DeepL

Google Chrome

Sinjal

Telegram

WhatsApp

Zyra e WPS-së

FAMILJET E PËRFSHIRË TË MALLRAVE TË DËMSHME

Sulmet çuan në vendosjen e varianteve të lidhura me Gh0st RAT, veçanërisht HiddenGh0st dhe Winos (i njohur edhe si ValleyRAT). Winos i është atribuar një grupi krimesh kibernetike të gjurmuar nën shumë pseudonime - Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 dhe Void Arachne - dhe besohet se ka qenë aktiv që të paktën nga viti 2022.

ZINXHIRI I DORËZIMIT — ndarje teknike

Një skedar i vogël JavaScript i etiketuar nice.js orkestron shpërndarjen me shumë hapa. Skripti merr vazhdimisht përgjigje JSON: një lidhje fillestare shkarkimi kthen JSON që përmban një lidhje dytësore, ajo lidhje e dytë kthen një ngarkesë tjetër JSON, e cila më në fund ridrejton te URL-ja e instaluesit keqdashës. Ky ridrejtim i shtresuar errëson vendndodhjen përfundimtare të ngarkesës dhe e ndërlikon zbulimin e thjeshtë.

Brenda instaluesit:

Një DLL keqdashëse e quajtur EnumW.dll kryen një sërë kontrollesh kundër analizës dhe më pas nxjerr një DLL të dytë (vstdlib.dll). Nxjerrja dhe sjellja e vstdlib.dll janë të dizajnuara për të rritur përdorimin e memories dhe për të ngadalësuar mjetet e analizës, duke penguar inspektimin automatik ose manual.

DLL-ja e dytë shpaket dhe nis ngarkesën kryesore vetëm pasi të testojë sistemin për praninë e një produkti specifik antivirus. Nëse zbulohet ai komponent antivirus, malware përdor rrëmbimin e TypeLib COM për të vendosur qëndrueshmëri dhe përfundimisht për të ekzekutuar një skedar binar të Windows me emrin insalivation.exe.

Nëse antivirusi mungon, programi keqdashës krijon një shkurtore të Windows që tregon të njëjtin skedar ekzekutues për të arritur qëndrueshmërinë.

NGARKESË PËRFUNDIMTARE: SIDELLoadING AIDE.dll

Qëllimi përfundimtar është të ngarkohet anash një DLL i quajtur AIDE.dll. Pasi të jetë aktiv, AIDE.dll zbaton tre aftësi kryesore operative:

  • Komandë-dhe-Kontroll (C2): komunikime të koduara me një server të largët për udhëzime dhe shkëmbim të dhënash.
  • Rrahje zemre: mbledhje periodike e informacionit të sistemit dhe të viktimës, duke përfshirë numërimin e proceseve në ekzekutim dhe kontrollimin e tyre kundrejt një liste të koduar të produkteve të sigurisë.
  • Monitor: konfirmim i qëndrueshmërisë, gjurmim i aktivitetit të përdoruesit dhe sinjalizim i rregullt përsëri në C2.

KAPAKËSI DHE PLUGINE SHTESË

Moduli C2 mbështet komanda në distancë për të marrë plugin-e shtesë. Aftësitë e njohura përfshijnë regjistrimin e tasteve, kapjen e të dhënave në clipboard, monitorimin e ekranit dhe mjete të dizajnuara për të rrëmbyer portofolet e kriptovalutave - konkretisht portofolet që mbajnë asete Ethereum dhe Tether. Disa plugin-e të vëzhguara në këto incidente duket se janë komponentë të ripërdorur nga kuadri Winos dhe janë të afta për mbikëqyrje të vazhdueshme të ekranit.

PSE INFEKSIONI ËSHTË I VËSHTIRË PËR T’U DALLUAR

Meqenëse instaluesi e bashkon aplikacionin legjitim së bashku me ngarkesën keqdashëse, një përdorues që shkarkon atë që duket si një program i besueshëm mund të mos vërejë kurrë asgjë të gabuar. Sulmuesit i përdorën si armë edhe rezultatet e kërkimit me renditje të lartë, gjë që rrit mundësinë që përdoruesit me qëllime të mira të instalojnë paketat e kompromentuara.

REKOMANDIME PËR MBROJTJEN

  • Verifikoni gjithmonë me kujdes emrat e domeneve përpara se të shkarkoni softuer; kërkoni për zëvendësime të vogla të karaktereve dhe URL-të që nuk përputhen.
  • Preferoni faqet zyrtare të shitësve ose dyqanet e verifikuara të aplikacioneve në vend të shkarkimeve nga rezultatet e kërkimit.
  • Përdorni mbrojtje të pikës fundore që inspekton sjelljen e instaluesit (jo vetëm nënshkrimet e skedarëve) dhe aktivizoni mbrojtjen kundër ngarkimit anësor të DLL dhe rrëmbimit të COM.
  • Monitoroni për përdorim të pazakontë të memories së procesit dhe sjellje të papritura të shpaketimit/nxjerrjes nga komponentët e instaluesit.

    • PËRFUNDIM

    Kjo fushatë tregon se si sulmuesit kombinojnë manipulimin e SEO-s, domenet e ngjashme, ridrejtimin shumëfazor dhe shmangien e sofistikuar të bazuar në DLL për të përhapur malware-in e familjes Gh0st-RAT te përdoruesit që flasin kinezisht. Përzierja e skedarëve binarë legjitimë dhe ngarkesave të fshehura e bën vigjilencën thelbësore: verifikoni burimet, shqyrtoni domenet dhe përdorni mbrojtje që shqyrtojnë sjelljen në kohën e ekzekutimit, si dhe reputacionin e skedarëve.

    Në trend

    Më e shikuara

    Po ngarkohet...