ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม มัลแวร์ มัลแวร์ Winos RAT

มัลแวร์ Winos RAT

โดย Mezo ใน มัลแวร์, เครื่องมือการบริหารจัดการระยะไกล
แปลเป็น:

ผู้ใช้ภาษาจีนตกเป็นเป้าหมายของแคมเปญ SEO-poisoning ที่มุ่งเป้าไปที่การแทนที่หน้าดาวน์โหลดซอฟต์แวร์จริงด้วยหน้าปลอมที่ดูเหมือนจริง ผู้โจมตีผลักดันโปรแกรมติดตั้งที่เป็นอันตรายผ่านการจัดอันดับการค้นหาที่ถูกปรับแต่งและโดเมนที่เกือบจะเหมือนกัน ทำให้เหยื่อสามารถคว้าสิ่งที่ดูเหมือนซอฟต์แวร์ถูกกฎหมาย แต่จริงๆ แล้วใช้มัลแวร์เข้าถึงระยะไกล

แคมเปญทำงานอย่างไร

ผู้ก่อภัยคุกคามได้เพิ่มจำนวนหน้าปลอมในผลการค้นหาด้วยการใช้ปลั๊กอิน SEO ในทางที่ผิดและลงทะเบียนโดเมนที่มีลักษณะคล้ายกันซึ่งเลียนแบบผู้ให้บริการที่ถูกกฎหมาย พวกเขาอาศัยการสลับตัวอักษรอย่างแนบเนียนและสำเนาภาษาจีนที่คล่องแคล่วเพื่อหลอกให้ผู้ใช้คลิก เมื่อเหยื่อเข้าสู่หน้าดาวน์โหลดที่มีโทรจัน แพ็กเกจติดตั้งจะมีทั้งแอปพลิเคชันที่คาดไว้และส่วนประกอบที่เป็นอันตรายที่ซ่อนอยู่ การผสมผสานนี้ทำให้ผู้ใช้ทั่วไปไม่สามารถตรวจจับได้

เป้าหมายและระยะเวลา

ในเดือนสิงหาคม พ.ศ. 2568 นักวิจัยค้นพบว่าแคมเปญนี้ดึงดูดผู้ใช้ที่ค้นหาเครื่องมือเพิ่มประสิทธิภาพการทำงานและการสื่อสารยอดนิยมเป็นหลัก ตัวอย่างของเป้าหมายการค้นหาที่ใช้ล่อเหยื่อ ได้แก่:

DeepL แปล

กูเกิล โครม

สัญญาณ

โทรเลข

วอทส์แอพพ์

สำนักงาน WPS

กลุ่มมัลแวร์ที่เกี่ยวข้อง

การโจมตีดังกล่าวนำไปสู่การใช้งานไวรัสสายพันธุ์ต่างๆ ที่เกี่ยวข้องกับ Gh0st RAT โดยเฉพาะอย่างยิ่ง HiddenGh0st และ Winos (หรือที่รู้จักกันในชื่อ ValleyRAT) Winos มีส่วนเกี่ยวข้องกับคลัสเตอร์อาชญากรรมไซเบอร์ที่ถูกติดตามภายใต้นามแฝงมากมาย เช่น Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 และ Void Arachne และเชื่อว่ามีการใช้งานมาอย่างน้อยตั้งแต่ปี 2022

ห่วงโซ่อุปทาน — การแยกย่อยทางเทคนิค

ไฟล์ JavaScript ขนาดเล็กที่มีชื่อว่า nice.js ทำหน้าที่ควบคุมการส่งแบบหลายขั้นตอน สคริปต์จะดึงข้อมูลตอบกลับ JSON ซ้ำๆ โดยลิงก์ดาวน์โหลดเริ่มต้นจะแสดง JSON ที่มีลิงก์รอง ส่วนลิงก์ที่สองจะแสดงเพย์โหลด JSON อีกอันหนึ่ง ซึ่งในท้ายที่สุดจะเปลี่ยนเส้นทางไปยัง URL ของโปรแกรมติดตั้งที่เป็นอันตราย การเปลี่ยนเส้นทางแบบหลายชั้นนี้ทำให้ตำแหน่งเพย์โหลดสุดท้ายคลุมเครือและทำให้การตรวจจับแบบง่ายๆ ซับซ้อนขึ้น

ภายในตัวติดตั้ง:

DLL อันตรายชื่อ EnumW.dll จะทำการตรวจสอบวิเคราะห์แบบป้องกันชุดหนึ่ง แล้วจึงแยก DLL ตัวที่สอง (vstdlib.dll) ออกมา การแยกและการทำงานของ vstdlib.dll ถูกออกแบบมาเพื่อเพิ่มการใช้งานหน่วยความจำและทำให้เครื่องมือวิเคราะห์ทำงานช้าลง ซึ่งเป็นอุปสรรคต่อการตรวจสอบทั้งแบบอัตโนมัติและด้วยตนเอง

DLL ตัวที่สองจะแกะและเปิดใช้งานเพย์โหลดหลักหลังจากตรวจสอบระบบเพื่อหาโปรแกรมป้องกันไวรัสเฉพาะเจาะจง หากตรวจพบส่วนประกอบของไวรัสดังกล่าว มัลแวร์จะใช้การแฮ็ก TypeLib COM เพื่อสร้างการคงอยู่และในที่สุดก็รันไฟล์ไบนารีของ Windows ที่ชื่อ insalivation.exe

หากไม่มีโปรแกรมป้องกันไวรัส มัลแวร์จะสร้างทางลัดของ Windows แทน โดยชี้ไปที่ไฟล์ปฏิบัติการเดียวกันเพื่อให้ทำงานต่อเนื่องได้

เพย์โหลดสุดท้าย: SIDELoadING AIDE.dll

เป้าหมายสูงสุดคือการไซด์โหลด DLL ชื่อ AIDE.dll เมื่อเปิดใช้งานแล้ว AIDE.dll จะใช้ความสามารถหลักสามประการ ได้แก่

  • การสั่งการและการควบคุม (C2): การสื่อสารที่เข้ารหัสกับเซิร์ฟเวอร์ระยะไกลสำหรับคำสั่งและการแลกเปลี่ยนข้อมูล
  • Heartbeat: การรวบรวมข้อมูลระบบและเหยื่อเป็นระยะ รวมถึงการนับรายการกระบวนการที่กำลังทำงานและตรวจสอบเทียบกับรายการผลิตภัณฑ์ด้านความปลอดภัยที่เข้ารหัสแบบฮาร์ดโค้ด
  • การตรวจสอบ: การยืนยันการคงอยู่ การติดตามกิจกรรมของผู้ใช้ และการส่งสัญญาณเตือนกลับไปยัง C2 เป็นประจำ

ความสามารถเพิ่มเติมและปลั๊กอิน

โมดูล C2 รองรับคำสั่งระยะไกลเพื่อดึงปลั๊กอินเสริม ความสามารถที่เป็นที่รู้จัก ได้แก่ การบันทึกแป้นพิมพ์ การจับภาพคลิปบอร์ด การตรวจสอบหน้าจอ และเครื่องมือที่ออกแบบมาเพื่อแฮ็กกระเป๋าเงินคริปโทเคอร์เรนซี โดยเฉพาะกระเป๋าเงินที่ถือสินทรัพย์ Ethereum และ Tether ปลั๊กอินหลายตัวที่พบในเหตุการณ์เหล่านี้ดูเหมือนจะนำส่วนประกอบจากเฟรมเวิร์ก Winos กลับมาใช้ใหม่ และสามารถเฝ้าระวังหน้าจอได้อย่างต่อเนื่อง

เหตุใดจึงตรวจพบการติดเชื้อได้ยาก

เนื่องจากตัวติดตั้งจะรวมแอปพลิเคชันที่ถูกต้องไว้กับเพย์โหลดที่เป็นอันตราย ผู้ใช้ที่ดาวน์โหลดสิ่งที่ดูเหมือนโปรแกรมที่เชื่อถือได้อาจไม่เคยสังเกตเห็นสิ่งผิดปกติใดๆ เลย ผู้โจมตีใช้ประโยชน์จากผลการค้นหาที่มีอันดับสูง ซึ่งเป็นการเพิ่มโอกาสที่ผู้ใช้ที่มีเจตนาดีจะติดตั้งแพ็คเกจที่ถูกบุกรุก

คำแนะนำด้านการป้องกัน

  • ตรวจสอบชื่อโดเมนอย่างรอบคอบเสมอ ก่อนที่จะดาวน์โหลดซอฟต์แวร์ มองหาการแทนที่อักขระที่ละเอียดอ่อนและ URL ที่ไม่ตรงกัน
  • ควรเลือกใช้เว็บไซต์ของผู้จำหน่ายอย่างเป็นทางการหรือร้านแอปที่ผ่านการตรวจสอบแล้ว มากกว่าการดาวน์โหลดจากผลการค้นหา
  • ใช้การป้องกันปลายทางที่ตรวจสอบพฤติกรรมของการติดตั้ง (ไม่ใช่แค่ลายเซ็นไฟล์) และเปิดใช้งานการป้องกันการโหลด DLL ด้านข้างและการแย่งชิง COM
  • ตรวจสอบการใช้งานหน่วยความจำของกระบวนการที่ผิดปกติและพฤติกรรมการแกะ/แยกข้อมูลที่ไม่คาดคิดจากส่วนประกอบของตัวติดตั้ง

    • บทสรุป

    แคมเปญนี้แสดงให้เห็นว่าผู้โจมตีผสมผสานการจัดการ SEO, โดเมนที่มีลักษณะคล้ายกัน, การเปลี่ยนเส้นทางแบบหลายขั้นตอน และการหลบเลี่ยง DLL ที่ซับซ้อน เพื่อส่งมัลแวร์ตระกูล Gh0st-RAT ไปยังผู้ใช้ที่พูดภาษาจีนได้อย่างไร การผสมผสานระหว่างไฟล์ไบนารีที่ถูกต้องตามกฎหมายและเพย์โหลดที่ซ่อนอยู่ทำให้การเฝ้าระวังเป็นสิ่งสำคัญ: ตรวจสอบแหล่งที่มา ตรวจสอบโดเมนอย่างละเอียด และใช้การป้องกันที่ตรวจสอบพฤติกรรมของรันไทม์และชื่อเสียงของไฟล์

    มาแรง

    การหลอกลวงการโหวต PancakeSwap

    เว็บไซต์อันธพาล
    อินเทอร์เน็ตมอบโอกาสอันไร้ขีดจำกัด แต่ก็เป็นแหล่งล่อลวงให้นักต้มตุ๋นที่ฉวยโอกาสจากผู้ใช้ที่ไม่ทันระวังตัวเช่นกัน โดยเฉพาะอย่างยิ่งการหลอกลวงสกุลเงินดิจิทัลที่เพิ่มสูงขึ้น...

    Powerpcsupport.com

    เว็บไซต์อันธพาล, แอดแวร์
    Powerpcsupport.com เป็นเว็บไซต์ที่น่าสงสัยที่พยายามหลอกลวงผู้ใช้ให้ซื้อผลิตภัณฑ์ซอฟต์แวร์ที่ได้รับการส่งเสริมหรือใบอนุญาตโดยแสดงการสแกนมัลแวร์ปลอม...

    เข้าชมมากที่สุด

    มัลแวร์

    ฟิชชิ่ง, สแปม
    35,315
    ข้อความหลอกลวง 'Apple Pay Suspended' เป็นกลวิธีฟิชชิงประเภทหนึ่งที่กำหนดเป้าหมายผู้ใช้ Apple Pay ข้อความอ้างว่ากระเป๋าเงิน Apple Pay ของผู้ใช้ถูกระงับและขอให้คลิกลิงก์เพื่อกู้คืน อย่างไรก็ตาม การคลิกลิงก์จะนำผู้ใช้ไปยังเว็บไซต์ปลอมที่ออกแบบมาเพื่อขโมยข้อมูลส่วนบุคคลและข้อมูลทางการเงิน หากผู้ใช้ตกเป็นเหยื่อของแผนการนี้ ผลที่ตามมาอาจร้ายแรง...
    'Geek Squad' อีเมลหลอกลวง สกรีนช็อต

    'Geek Squad' อีเมลหลอกลวง

    ฟิชชิ่ง, สแปม
    31,727
    Geek Squad ผู้ให้บริการสนับสนุนด้านเทคนิคยอดนิยม ได้กลายเป็นเหยื่อของกลโกงฟิชชิ่งที่เรียกว่า Geek Squad Email Scam กลโกงการสนับสนุนทางเทคนิคนี้ใช้อีเมลปลอมที่หลอกลวงให้ผู้คนเปิดเผยข้อมูลส่วนบุคคล...
    กำลังโหลด...