Winos RAT Malware
Ang mga gumagamit ng wikang Chinese ay na-target ng isang nakatuong SEO-poisoning campaign na pinapalitan ang mga tunay na pahina ng pag-download ng software ng mga nakakumbinsi na pekeng. Itinulak ng mga attacker ang mga nakakahamak na installer sa pamamagitan ng minamanipulang mga ranking sa paghahanap at halos magkaparehong mga domain, na ginagawang madali para sa mga biktima na makuha ang mukhang lehitimong software ngunit aktwal na nagde-deploy ng remote-access na malware.
Talaan ng mga Nilalaman
PAANO GUMAGANA ANG KAMPANYA
Ang mga aktor ng banta ay nagpalakas ng mga spoofed page sa mga resulta ng paghahanap sa pamamagitan ng pag-abuso sa mga SEO plugin at pagrehistro ng mga kamukhang domain na biswal na ginagaya ang mga lehitimong vendor. Umasa sila sa mga banayad na pagpapalit ng character at matatas na kopya ng Chinese para lokohin ang mga tao sa pag-click. Sa sandaling mapunta ang isang biktima sa isang pahina ng pag-download ng trojanized, naglalaman ang package ng pag-install ng parehong inaasahang application at isang nakatagong malisyosong bahagi. Ang timpla na ito ay ginagawang hindi malamang ang pagtuklas ng mga kaswal na user.
MGA TARGET AT TIMELINE
Natuklasan ng mga mananaliksik noong Agosto 2025 na ang campaign ay pangunahing nakakaakit sa mga user na naghahanap ng sikat na productivity at mga tool sa komunikasyon. Kasama sa mga halimbawa ng mga target sa paghahanap na ginagamit upang painin ang mga biktima:
DeepL Translate
Google Chrome
Signal
Telegram
WPS Office
MALWARE PAMILYA KASAMA
Ang mga pag-atake ay humantong sa pag-deploy ng mga variant na nauugnay sa Gh0st RAT, lalo na ang HiddenGh0st at Winos (kilala rin bilang ValleyRAT). Ang Winos ay na-attribute sa isang cybercrime cluster na sinusubaybayan sa ilalim ng maraming alias — Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000, at Void Arachne — at pinaniniwalaang naging aktibo simula noong 2022 man lang.
THE DELIVERY CHAIN — technical breakdown
Ang isang maliit na JavaScript file na may label na nice.js ay nag-oorkestrate sa multi-step na paghahatid. Paulit-ulit na kinukuha ng script ang mga tugon ng JSON: ang isang paunang link sa pag-download ay nagbabalik ng JSON na naglalaman ng pangalawang link, ang pangalawang link na iyon ay nagbabalik ng isa pang JSON payload, na sa wakas ay nagre-redirect sa nakakahamak na URL ng installer. Ang layered na pag-redirect na ito ay parehong nagpapalabo sa huling lokasyon ng kargamento at nagpapalubha ng simpleng pagtuklas.
Sa loob ng installer:
Ang isang nakakahamak na DLL na pinangalanang EnumW.dll ay nagsasagawa ng isang hanay ng mga anti-analysis na pagsusuri at pagkatapos ay kumukuha ng pangalawang DLL (vstdlib.dll). Ang pagkuha at pag-uugali ng vstdlib.dll ay idinisenyo upang palakihin ang paggamit ng memorya at mabagal na tool sa pagsusuri, na humahadlang sa awtomatiko o manu-manong inspeksyon.
Ang pangalawang DLL ay nag-unpack at naglulunsad ng pangunahing kargamento pagkatapos lamang suriin ang system para sa pagkakaroon ng isang partikular na produkto ng antivirus. Kung natukoy ang bahaging iyon ng AV, ang malware ay gumagamit ng TypeLib COM hijacking upang maitaguyod ang pagtitiyaga at kalaunan ay magsagawa ng Windows binary na pinangalanang insalivation.exe.
Kung wala ang antivirus, ang malware sa halip ay gagawa ng Windows shortcut na tumuturo sa parehong executable upang makamit ang pagtitiyaga.
PANGHULING PAYLOAD: SIDELoadING AIDE.dll
Ang pinakalayunin ay i-sideload ang isang DLL na tinatawag na AIDE.dll. Kapag aktibo na, ang AIDE.dll ay nagpapatupad ng tatlong pangunahing kakayahan sa pagpapatakbo:
- Command-and-Control (C2): mga naka-encrypt na komunikasyon sa isang malayuang server para sa mga tagubilin at pagpapalitan ng data.
- Heartbeat: panaka-nakang koleksyon ng impormasyon ng system at biktima, kabilang ang pag-enumerate ng mga tumatakbong proseso at pagsuri sa mga ito sa isang hard-coded na listahan ng mga produkto ng seguridad.
- Monitor: kumpirmasyon ng pagtitiyaga, pagsubaybay sa aktibidad ng user, at regular na beaconing pabalik sa C2.
MGA KARAGDAGANG KAKAYAHAN AT PLUGIN
Sinusuportahan ng C2 module ang mga remote command para kumuha ng mga karagdagang plugin. Kabilang sa mga kilalang kakayahan ang keylogging, pag-capture ng clipboard, pagsubaybay sa screen, at mga tool na idinisenyo upang i-hijack ang mga wallet ng cryptocurrency — partikular ang mga wallet na may hawak na Ethereum at Tether na mga asset. Lumilitaw na ang ilang mga plugin na naobserbahan sa mga insidenteng ito ay muling ginagamit na mga bahagi mula sa balangkas ng Winos at may kakayahang patuloy na pagsubaybay sa screen.
BAKIT ANG INFECTION HIRAP MAKITA
Dahil pinagsama ng installer ang lehitimong application kasama ng malisyosong payload, ang isang user na nagda-download ng mukhang pinagkakatiwalaang program ay maaaring hindi makapansin ng anumang mali. Ginamit ng mga umaatake ang kahit na mataas na ranggo ng mga resulta ng paghahanap, na nagpapataas ng pagkakataong mai-install ng mga user na may mabuting layunin ang mga nakompromisong pakete.
MGA REKOMENDASYON SA PAGTATANGGOL
- Palaging i-verify nang mabuti ang mga domain name bago mag-download ng software; maghanap ng mga banayad na pagpapalit ng character at hindi tugmang mga URL.
- Mas gusto ang mga opisyal na site ng vendor o na-verify na mga app store kaysa sa mga pag-download mula sa mga resulta ng paghahanap.
- Gumamit ng proteksyon sa endpoint na sumusuri sa gawi ng installer (hindi lang sa mga file signature) at nagbibigay-daan sa proteksyon laban sa DLL sideloading at COM hijacking.
KONGKLUSYON
Ipinapakita ng campaign na ito kung paano pinagsama ng mga attacker ang pagmamanipula ng SEO, mga kamukhang domain, multi-stage redirection, at sopistikadong DLL-based na pag-iwas upang itulak ang Gh0st-RAT–family malware sa mga user na nagsasalita ng Chinese. Ang kumbinasyon ng mga lehitimong binary at mga nakatagong payload ay ginagawang mahalaga ang pagbabantay: i-verify ang mga source, suriing mabuti ang mga domain, at gumamit ng mga panlaban na tumitingin sa pag-uugali ng runtime pati na rin sa reputasyon ng file.
