Попуст за више лиценци
Тхреат Датабасе Малваре Злонамерни софтвер Winos RAT

Злонамерни софтвер Winos RAT

До Mezo. у Малваре, Алати за удаљену администрацију
Преведи на:

Корисници који говоре кинески језик су мета фокусиране кампање тровања SEO-ом која замењује праве странице за преузимање софтвера убедљивим лажним страницама. Нападачи су промовисали злонамерне инсталатере кроз манипулисане ранг листе претрага и готово идентичне домене, олакшавајући жртвама да преузму оно што изгледа као легитиман софтвер, али заправо користи злонамерни софтвер за даљински приступ.

КАКО КАМПАЊА ФУНКЦИОНИШЕ

Претње су појачавале број лажних страница у резултатима претраге злоупотребљавајући SEO додатке и региструјући сличне домене који визуелно имитирају легитимне добављаче. Ослањали су се на суптилне замене карактера и течни кинески текст како би преварили људе и натерали их да кликну. Када жртва доспе на страницу за преузимање заражену тројанцем, инсталациони пакет садржи и очекивану апликацију и скривену злонамерну компоненту. Ова комбинација чини откривање од стране обичних корисника мало вероватним.

ЦИЉЕВИ И ВРЕМЕНСКИ РОК

Истраживачи су у августу 2025. године открили да кампања првенствено мами кориснике који траже популарне алате за продуктивност и комуникацију. Примери циљева претраге који се користе за мамљење жртава укључују:

DeepL превод

Гугл Хром

Сигнал

Телеграм

WhatsApp

Канцеларија ВПС-а

Укључене породице злонамерног софтвера

Напади су довели до постављања варијанти повезаних са Gh0st RAT-ом, посебно HiddenGh0st и Winos (такође познат као ValleyRAT). Winos је приписан кластеру сајбер криминала који се прати под многим алијасима — Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 и Void Arachne — и верује се да је активан најмање од 2022. године.

ЛАНЦА ИСПРОДАЈЕ — технички квар

Мала JavaScript датотека са ознаком nice.js оркестрира вишестепену испоруку. Скрипта више пута преузима JSON одговоре: почетни линк за преузимање враћа JSON који садржи секундарни линк, тај други линк враћа још један JSON корисни садржај, који коначно преусмерава на URL злонамерног инсталатера. Ово слојевито преусмеравање замагљује коначну локацију корисног садржаја и компликује једноставно откривање.

Унутар инсталатера:

Злонамерна DLL датотека под називом EnumW.dll врши скуп анти-аналитичких провера, а затим издваја другу DLL датотеку (vstdlib.dll). Издвајање и понашање vstdlib.dll датотеке су дизајнирани да повећају коришћење меморије и успоре алате за анализу, ометајући аутоматизовану или ручну инспекцију.

Друга DLL датотека распакује и покреће главни корисни тек након што провери систем за присуство одређеног антивирусног производа. Ако се та AV компонента открије, злонамерни софтвер користи отмицу TypeLib COM-а да би успоставио перзистентност и на крају извршио Windows бинарну датотеку под називом insalivation.exe.

Ако антивирус није доступан, злонамерни софтвер уместо тога креира пречицу за Windows која указује на исту извршну датотеку како би се постигла трајност.

ЗАВРШНИ ПОТЕР: SIDELoading AIDE.dll

Крајњи циљ је учитавање DLL-а под називом AIDE.dll. Када се активира, AIDE.dll имплементира три основне оперативне могућности:

  • Команда и контрола (C2): шифрована комуникација са удаљеним сервером за размену инструкција и података.
  • Откуцаји срца: периодично прикупљање информација о систему и жртви, укључујући набрајање покренутих процеса и њихову проверу у односу на чврсто кодирану листу безбедносних производа.
  • Праћење: потврда постојаности, праћење активности корисника и редовно враћање сигнала до Ц2.

ДОДАТНЕ МОГУЋНОСТИ И ПЛАГИНИ

C2 модул подржава даљинске команде за преузимање додатних додатних додатака. Познате могућности укључују бележење откуцаја миша, снимање меморије, праћење екрана и алате дизајниране за отмицу криптовалутних новчаника — посебно новчаника који садрже средства Ethereum-а и Tether-а. Неколико додатака примећених у овим инцидентима изгледа да су поново коришћене компоненте из Winos оквира и способни су за континуирани надзор екрана.

ЗАШТО ЈЕ ИНФЕКЦИЈУ ТЕШКО УОЧИТИ

Пошто инсталатер укључује легитимну апликацију заједно са злонамерним садржајем, корисник који преузима оно што изгледа као поуздан програм можда никада неће приметити ништа необично. Нападачи су чак и високо рангиране резултате претраге искористили као оружје, што повећава шансу да ће корисници са добрим намерама инсталирати компромитоване пакете.

ПРЕПОРУКЕ ЗА ОДБРАНУ

  • Увек пажљиво проверите имена домена пре преузимања софтвера; потражите суптилне замене карактера и неусклађене URL-ове.
  • Дајте предност званичним сајтовима добављача или провереним продавницама апликација уместо преузимања из резултата претраге.
  • Користите заштиту крајњих тачака која проверава понашање инсталатера (не само потписе датотека) и омогућава заштиту од бочног учитавања DLL-а и отмице COM-а.
  • Пратите неуобичајену употребу меморије процеса и неочекивано понашање приликом распакивања/издвајања из компоненти инсталатера.

ЗАКЉУЧАК

Ова кампања показује како нападачи комбинују SEO манипулацију, сличне домене, вишестепено преусмеравање и софистицирано избегавање засновано на DLL-овима како би промовисали злонамерни софтвер из породице Gh0st-RAT корисницима који говоре кинески. Мешавина легитимних бинарних датотека и скривених корисних садржаја чини будност неопходном: проверите изворе, пажљиво испитајте домене и користите одбрану која прати понашање током извршавања, као и репутацију датотека.

У тренду

Најгледанији

Злонамерних програма

Пецање, Спам
35,315
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...