వినోస్ RAT మాల్వేర్

నిజమైన సాఫ్ట్‌వేర్ డౌన్‌లోడ్ పేజీలను నమ్మదగిన నకిలీలతో భర్తీ చేసే SEO-విషీకరణ ప్రచారం ద్వారా చైనీస్ భాషా వినియోగదారులు లక్ష్యంగా చేసుకున్నారు. దాడి చేసేవారు హానికరమైన ఇన్‌స్టాలర్‌లను మానిప్యులేటెడ్ సెర్చ్ ర్యాంకింగ్‌లు మరియు దాదాపు ఒకేలాంటి డొమైన్‌ల ద్వారా నెట్టారు, దీని వలన బాధితులు చట్టబద్ధమైన సాఫ్ట్‌వేర్ లాగా కనిపించే వాటిని సులభంగా పట్టుకోవచ్చు కానీ వాస్తవానికి రిమోట్-యాక్సెస్ మాల్వేర్‌ను అమలు చేయవచ్చు.

ప్రచారం ఎలా పనిచేస్తుంది

బెదిరింపు నటులు SEO ప్లగిన్‌లను దుర్వినియోగం చేయడం ద్వారా మరియు దృశ్యపరంగా చట్టబద్ధమైన విక్రేతలను అనుకరించే డొమైన్‌లను నమోదు చేయడం ద్వారా శోధన ఫలితాల్లో స్పూఫ్డ్ పేజీలను పెంచారు. వారు ప్రజలను క్లిక్ చేసేలా మోసం చేయడానికి సూక్ష్మమైన అక్షర మార్పిడులు మరియు సరళమైన చైనీస్ కాపీపై ఆధారపడ్డారు. బాధితుడు ట్రోజనైజ్డ్ డౌన్‌లోడ్ పేజీలోకి అడుగుపెట్టిన తర్వాత, ఇన్‌స్టాలేషన్ ప్యాకేజీలో ఆశించిన అప్లికేషన్ మరియు దాచిన హానికరమైన భాగం రెండూ ఉంటాయి. ఈ మిశ్రమం సాధారణ వినియోగదారుల ద్వారా గుర్తింపును అసంభవం చేస్తుంది.

లక్ష్యాలు మరియు కాలక్రమం

ఆగస్టు 2025లో పరిశోధకులు ఈ ప్రచారం ప్రధానంగా ప్రముఖ ఉత్పాదకత మరియు కమ్యూనికేషన్ సాధనాల కోసం వెతుకుతున్న వినియోగదారులను ఆకర్షిస్తుందని కనుగొన్నారు. బాధితులను ఆకర్షించడానికి ఉపయోగించే శోధన లక్ష్యాల ఉదాహరణలు:

డీప్ఎల్ అనువాదం

గూగుల్ క్రోమ్

సిగ్నల్

టెలిగ్రామ్

వాట్సాప్

WPS ఆఫీస్

మాల్వేర్ కుటుంబాలు ఇందులో ఉన్నాయి

ఈ దాడుల ఫలితంగా Gh0st RAT కి సంబంధించిన వేరియంట్‌లు, ముఖ్యంగా HiddenGh0st మరియు Winos (ValleyRAT అని కూడా పిలుస్తారు) విస్తరణకు దారితీశాయి. Winos అనేది సిల్వర్ ఫాక్స్, స్విమ్‌స్నేక్, ది గ్రేట్ థీఫ్ ఆఫ్ వ్యాలీ (వ్యాలీ థీఫ్), UTG-Q-1000 మరియు Void Arachne వంటి అనేక మారుపేర్లతో ట్రాక్ చేయబడిన సైబర్ క్రైమ్ క్లస్టర్‌కు ఆపాదించబడింది మరియు కనీసం 2022 నుండి చురుకుగా ఉందని నమ్ముతారు.

డెలివరీ చైన్ — సాంకేతిక లోపం

nice.js అని లేబుల్ చేయబడిన ఒక చిన్న జావాస్క్రిప్ట్ ఫైల్ బహుళ-దశల డెలివరీని ఆర్కెస్ట్రేట్ చేస్తుంది. స్క్రిప్ట్ పదే పదే JSON ప్రతిస్పందనలను పొందుతుంది: ప్రారంభ డౌన్‌లోడ్ లింక్ ద్వితీయ లింక్‌ను కలిగి ఉన్న JSONని తిరిగి ఇస్తుంది, ఆ రెండవ లింక్ మరొక JSON పేలోడ్‌ను తిరిగి ఇస్తుంది, ఇది చివరకు హానికరమైన ఇన్‌స్టాలర్ URLకి దారి మళ్లిస్తుంది. ఈ లేయర్డ్ రీడైరెక్షన్ రెండూ తుది పేలోడ్ స్థానాన్ని అస్పష్టం చేస్తాయి మరియు సాధారణ గుర్తింపును క్లిష్టతరం చేస్తాయి.

ఇన్‌స్టాలర్ లోపల:

EnumW.dll అనే హానికరమైన DLL యాంటీ-అనాలిసిస్ తనిఖీల సమితిని నిర్వహించి, రెండవ DLL (vstdlib.dll)ని సంగ్రహిస్తుంది. vstdlib.dll యొక్క సంగ్రహణ మరియు ప్రవర్తన మెమరీ వినియోగాన్ని పెంచడానికి మరియు విశ్లేషణ సాధనాలను నెమ్మదించడానికి రూపొందించబడింది, ఇది ఆటోమేటెడ్ లేదా మాన్యువల్ తనిఖీని అడ్డుకుంటుంది.

రెండవ DLL ఒక నిర్దిష్ట యాంటీవైరస్ ఉత్పత్తి ఉనికి కోసం సిస్టమ్‌ను పరిశీలించిన తర్వాత మాత్రమే ప్రధాన పేలోడ్‌ను అన్‌ప్యాక్ చేసి ప్రారంభిస్తుంది. ఆ AV భాగం గుర్తించబడితే, మాల్వేర్ నిలకడను స్థాపించడానికి TypeLib COM హైజాకింగ్‌ను ఉపయోగిస్తుంది మరియు చివరికి insalivation.exe అనే విండోస్ బైనరీని అమలు చేస్తుంది.

యాంటీవైరస్ లేకపోతే, మాల్వేర్ బదులుగా నిలకడను సాధించడానికి అదే ఎక్జిక్యూటబుల్‌ను సూచించే విండోస్ షార్ట్‌కట్‌ను సృష్టిస్తుంది.

ఫైనల్ పేలోడ్: సైడ్‌లోడింగ్ AIDE.dll

AIDE.dll అనే DLL ని సైడ్‌లోడ్ చేయడమే అంతిమ లక్ష్యం. ఒకసారి యాక్టివ్ అయిన తర్వాత, AIDE.dll మూడు ప్రాథమిక కార్యాచరణ సామర్థ్యాలను అమలు చేస్తుంది:

• కమాండ్-అండ్-కంట్రోల్ (C2): సూచనలు మరియు డేటా మార్పిడి కోసం రిమోట్ సర్వర్‌తో ఎన్‌క్రిప్ట్ చేయబడిన కమ్యూనికేషన్‌లు.
• హృదయ స్పందన: నడుస్తున్న ప్రక్రియలను లెక్కించడం మరియు భద్రతా ఉత్పత్తుల యొక్క హార్డ్-కోడెడ్ జాబితాతో పోలిస్తే వాటిని తనిఖీ చేయడంతో సహా సిస్టమ్ మరియు బాధితుల సమాచారాన్ని కాలానుగుణంగా సేకరించడం.
• మానిటర్: నిలకడ నిర్ధారణ, వినియోగదారు-కార్యాచరణ ట్రాకింగ్ మరియు C2కి తిరిగి వచ్చే సాధారణ బీకనింగ్.

అదనపు సామర్థ్యాలు మరియు ప్లగిన్‌లు

C2 మాడ్యూల్ అదనపు ప్లగిన్‌లను పొందడానికి రిమోట్ ఆదేశాలకు మద్దతు ఇస్తుంది. తెలిసిన సామర్థ్యాలలో కీలాగింగ్, క్లిప్‌బోర్డ్ క్యాప్చర్, స్క్రీన్ మానిటరింగ్ మరియు క్రిప్టోకరెన్సీ వాలెట్‌లను హైజాక్ చేయడానికి రూపొందించిన సాధనాలు ఉన్నాయి - ప్రత్యేకంగా Ethereum మరియు Tether ఆస్తులను కలిగి ఉన్న వాలెట్‌లు. ఈ సంఘటనలలో గమనించిన అనేక ప్లగిన్‌లు Winos ఫ్రేమ్‌వర్క్ నుండి తిరిగి ఉపయోగించబడిన భాగాలుగా కనిపిస్తాయి మరియు నిరంతర స్క్రీన్ నిఘా సామర్థ్యాన్ని కలిగి ఉంటాయి.

ఇన్ఫెక్షన్ ఎందుకు కనిపించడం కష్టం

ఇన్‌స్టాలర్ చట్టబద్ధమైన అప్లికేషన్‌ను హానికరమైన పేలోడ్‌తో పాటు బండిల్ చేస్తుంది కాబట్టి, విశ్వసనీయ ప్రోగ్రామ్ లాగా కనిపించే దాన్ని డౌన్‌లోడ్ చేసుకునే వినియోగదారుడు ఎప్పుడూ ఏదైనా తప్పును గమనించకపోవచ్చు. దాడి చేసేవారు అధిక-ర్యాంకింగ్ శోధన ఫలితాలను కూడా ఆయుధంగా చేసుకున్నారు, ఇది మంచి ఉద్దేశ్యంతో ఉన్న వినియోగదారులు రాజీపడిన ప్యాకేజీలను ఇన్‌స్టాల్ చేసే అవకాశాన్ని పెంచుతుంది.

రక్షణ సిఫార్సులు

• సాఫ్ట్‌వేర్‌ను డౌన్‌లోడ్ చేసే ముందు ఎల్లప్పుడూ డొమైన్ పేర్లను జాగ్రత్తగా ధృవీకరించండి; సూక్ష్మమైన అక్షర ప్రత్యామ్నాయాలు మరియు సరిపోలని URLల కోసం చూడండి.
• శోధన ఫలితాల నుండి డౌన్‌లోడ్‌ల కంటే అధికారిక విక్రేత సైట్‌లు లేదా ధృవీకరించబడిన యాప్ స్టోర్‌లను ఇష్టపడండి.
• ఇన్‌స్టాలర్ ప్రవర్తనను తనిఖీ చేసే ఎండ్‌పాయింట్ రక్షణను ఉపయోగించండి (ఫైల్ సంతకాలను మాత్రమే కాదు) మరియు DLL సైడ్‌లోడింగ్ మరియు COM హైజాకింగ్ నుండి రక్షణను ప్రారంభించండి.

ముగింపు

ఈ ప్రచారంలో దాడి చేసేవారు SEO మానిప్యులేషన్, లుకలైక్ డొమైన్‌లు, మల్టీ-స్టేజ్ రీడైరెక్షన్ మరియు అధునాతన DLL-ఆధారిత ఎగవేతలను కలిపి Gh0st-RAT–ఫ్యామిలీ మాల్వేర్‌ను చైనీస్ మాట్లాడే వినియోగదారులకు ఎలా నెట్టివేస్తారో చూపిస్తుంది. చట్టబద్ధమైన బైనరీలు మరియు దాచిన పేలోడ్‌ల మిశ్రమం అప్రమత్తతను తప్పనిసరి చేస్తుంది: మూలాలను ధృవీకరించడం, డొమైన్‌లను పరిశీలించడం మరియు రన్‌టైమ్ ప్రవర్తనను అలాగే ఫైల్ ఖ్యాతిని చూసే రక్షణలను ఉపయోగించడం.