Rabattoffert för flera licenser
Hotdatabas Skadlig programvara Winos RAT-skadlig programvara

Winos RAT-skadlig programvara

Med Mezo år Skadlig programvara, Fjärradministrationsverktyg
Översätt till:

Kinesiskspråkiga användare har blivit måltavlor för en fokuserad SEO-förgiftningskampanj som ersätter riktiga nedladdningssidor för programvara med övertygande förfalskningar. Angripare manipulerade sökrankningar och nästan identiska domäner, vilket gör det enkelt för offren att få tag på det som ser ut som legitim programvara men som i själva verket distribuerar skadlig programvara för fjärråtkomst.

HUR KAMPANJEN FUNGERAR

Hotaktörerna ökade antalet förfalskade sidor i sökresultaten genom att missbruka SEO-plugins och registrera domäner som visuellt imiterar legitima leverantörer. De förlitade sig på subtila teckenbyten och flytande kinesisk text för att lura folk att klicka. När ett offer landar på en trojaniserad nedladdningssida innehåller installationspaketet både den förväntade applikationen och en dold skadlig komponent. Denna blandning gör det osannolikt att de upptäcks av vanliga användare.

MÅL OCH TIDSPLAN

I augusti 2025 upptäckte forskare att kampanjen främst lockar användare som söker efter populära produktivitets- och kommunikationsverktyg. Exempel på sökmål som används för att locka offer inkluderar:

DeepL Translate

Google Chrome

Signal

Telegram

WhatsApp

WPS-kontoret

SKADLIG PROGRAMFAMILJER INBUNDNA

Attackerna ledde till utplacering av varianter relaterade till Gh0st RAT, särskilt HiddenGh0st och Winos (även känt som ValleyRAT). Winos har tillskrivits ett cyberbrottskluster som spårats under många alias — Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 och Void Arachne — och tros ha varit aktivt sedan åtminstone 2022.

LEVERANSKEDJAN — teknisk uppdelning

En liten JavaScript-fil med etiketten nice.js orkestrerar flerstegsleveransen. Skriptet hämtar upprepade gånger JSON-svar: en initial nedladdningslänk returnerar JSON som innehåller en sekundär länk, den andra länken returnerar ytterligare en JSON-nyttolast, som slutligen omdirigerar till den skadliga installations-URL:en. Denna lageromdirigering både förvirrar den slutliga nyttolastens plats och komplicerar enkel upptäckt.

Inuti installationsprogrammet:

En skadlig DLL-fil med namnet EnumW.dll utför en uppsättning antianalyskontroller och extraherar sedan en andra DLL (vstdlib.dll). Extraheringen och beteendet hos vstdlib.dll är utformat för att öka minnesanvändningen och sakta ner analysverktygen, vilket hindrar automatiserad eller manuell inspektion.

Den andra DLL-filen packar upp och startar huvudnyttolasten först efter att systemet har undersökts för att upptäcka förekomsten av en specifik antivirusprodukt. Om den antiviruskomponenten upptäcks använder skadlig kod TypeLib COM-kapning för att etablera persistens och så småningom köra en Windows-binärfil med namnet insalivation.exe.

Om antivirusprogrammet saknas skapar skadlig kod istället en Windows-genväg som pekar på samma körbara program för att uppnå beständighet.

SLUTLAST: SIDLOADNING AIDE.dll

Det slutgiltiga målet är att sidladda en DLL som heter AIDE.dll. När den är aktiv implementerar AIDE.dll tre primära operativa funktioner:

  • Kommando-och-kontroll (C2): krypterad kommunikation med en fjärrserver för instruktioner och datautbyte.
  • Hjärtslag: periodisk insamling av system- och offerinformation, inklusive uppräkning av pågående processer och kontroll av dem mot en hårdkodad lista över säkerhetsprodukter.
  • Övervakning: bekräftelse av persistens, spårning av användaraktivitet och regelbunden beaconing tillbaka till C2.

YTTERLIGARE FUNKTIONER OCH PLUGINS

C2-modulen stöder fjärrkommandon för att hämta extra plugins. Kända funktioner inkluderar keylogging, urklippsinspelning, skärmövervakning och verktyg utformade för att kapa kryptovalutaplånböcker – specifikt plånböcker som innehåller Ethereum- och Tether-tillgångar. Flera plugins som observerats i dessa incidenter verkar vara återanvända komponenter från Winos-ramverket och kan utföra kontinuerlig skärmövervakning.

VARFÖR INFEKTIONEN ÄR SVÅR ATT UPPTÄCKA

Eftersom installationsprogrammet paketerar den legitima applikationen tillsammans med den skadliga nyttolasten, kanske en användare som laddar ner vad som ser ut som ett betrott program aldrig märker något fel. Angriparna beväpnade även högt rankade sökresultat, vilket ökar risken för att välmenande användare installerar de komprometterade paketen.

FÖRSVARSREKOMMENDATIONER

  • Verifiera alltid domännamn noggrant innan du laddar ner programvara; leta efter subtila teckenbyten och felaktiga webbadresser.
  • Föredra officiella leverantörswebbplatser eller verifierade appbutiker framför nedladdningar från sökresultat.
  • Använd slutpunktsskydd som inspekterar installationsprogrammets beteende (inte bara filsignaturer) och aktivera skydd mot DLL-sideloading och COM-kapning.
  • Övervaka ovanlig processminnesanvändning och oväntat uppacknings-/extraheringsbeteende från installationskomponenter.

SLUTSATS

Den här kampanjen visar hur angripare kombinerar SEO-manipulation, kopieringsdomäner, omdirigering i flera steg och sofistikerad DLL-baserad kringgåelse för att skicka skadlig kod i Gh0st-RAT-familjen till kinesisktalande användare. Blandningen av legitima binärfiler och dolda nyttolaster gör vaksamhet avgörande: verifiera källor, granska domäner och använd försvar som tittar på körningsbeteende samt filrykte.

Trendigt

Mest sedda

Läser in...