Winos RAT Kötü Amaçlı Yazılım

Çince konuşan kullanıcılar, gerçek yazılım indirme sayfalarını ikna edici sahte sayfalarla değiştiren, odaklı bir SEO zehirleme kampanyasının hedefi haline geldi. Saldırganlar, kötü amaçlı yükleyicileri manipüle edilmiş arama sıralamaları ve neredeyse aynı alan adları aracılığıyla göndererek, kurbanların meşru gibi görünen ancak aslında uzaktan erişimli kötü amaçlı yazılımlar dağıtan yazılımları ele geçirmesini kolaylaştırdı.

KAMPANYA NASIL ÇALIŞIR?

Tehdit aktörleri, SEO eklentilerini kötüye kullanarak ve meşru satıcıları görsel olarak taklit eden benzer alan adları kaydederek sahte sayfaların arama sonuçlarında üst sıralara çıkmasını sağladılar. İnsanları tıklamaya ikna etmek için ince karakter değişimlerine ve akıcı Çince metinlere başvurdular. Bir kurban truva atı bulaşmış bir indirme sayfasına ulaştığında, kurulum paketi hem beklenen uygulamayı hem de gizli bir kötü amaçlı bileşeni içerir. Bu karışım, sıradan kullanıcılar tarafından tespit edilme olasılığını azaltır.

HEDEFLER VE ZAMAN ÇİZELGESİ

Ağustos 2025'te araştırmacılar, kampanyanın öncelikle popüler üretkenlik ve iletişim araçlarını arayan kullanıcıları cezbettiğini keşfetti. Kurbanları tuzağa düşürmek için kullanılan arama hedeflerine örnekler şunlardır:

DeepL Çeviri

Google Chrome

Sinyal

Telgraf

WhatsApp

WPS Ofisi

KÖTÜ AMAÇLI YAZILIM AİLELERİ İLGİLİ

Saldırılar, Gh0st RAT ile ilgili varyantların, özellikle de HiddenGh0st ve Winos'un (ValleyRAT olarak da bilinir) konuşlandırılmasına yol açtı. Winos, Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 ve Void Arachne gibi birçok takma adla takip edilen bir siber suç kümesine atfedildi ve en az 2022'den beri aktif olduğuna inanılıyor.

TESLİMAT ZİNCİRİ — teknik arıza

nice.js etiketli küçük bir JavaScript dosyası, çok adımlı teslimatı düzenler. Betik, JSON yanıtlarını tekrar tekrar alır: ilk indirme bağlantısı, ikincil bir bağlantı içeren JSON döndürür; ikinci bağlantı ise başka bir JSON yükü döndürür ve bu yük, sonunda kötü amaçlı yükleyici URL'sine yönlendirilir. Bu katmanlı yönlendirme, hem nihai yük konumunu gizler hem de basit tespiti zorlaştırır.

Kurulum programının içinde:

EnumW.dll adlı kötü amaçlı bir DLL, bir dizi anti-analiz kontrolü gerçekleştirir ve ardından ikinci bir DLL (vstdlib.dll) çıkarır. Vstdlib.dll dosyasının çıkarımı ve davranışı, bellek kullanımını artırmak ve analiz araçlarını yavaşlatmak, otomatik veya manuel incelemeyi engellemek için tasarlanmıştır.

İkinci DLL, sistemde belirli bir antivirüs ürününün varlığını araştırdıktan sonra ana yükü açar ve başlatır. Bu antivirüs bileşeni tespit edilirse, kötü amaçlı yazılım TypeLib COM ele geçirme yöntemini kullanarak kalıcılık sağlar ve sonunda insalivation.exe adlı bir Windows ikili dosyasını çalıştırır.

Antivirüs programı yoksa, kötü amaçlı yazılım kalıcılığı sağlamak için aynı yürütülebilir dosyaya işaret eden bir Windows kısayolu oluşturur.

SON YÜK: SIDELoadING AIDE.dll

Nihai amaç, AIDE.dll adlı bir DLL'yi yan yüklemektir. Etkinleştirildiğinde, AIDE.dll üç temel operasyonel özelliği uygular:

• Komuta ve Kontrol (C2): Talimatlar ve veri alışverişi için uzak bir sunucuyla şifreli iletişim.
• Heartbeat: Sistem ve mağdur bilgilerinin periyodik olarak toplanması, çalışan işlemlerin listelenmesi ve bunların sabit kodlanmış güvenlik ürünleri listesiyle karşılaştırılması.
• İzleme: Kalıcılığın onaylanması, kullanıcı etkinliğinin izlenmesi ve C2'ye düzenli olarak geri bildirim yapılması.

EK ÖZELLİKLER VE EKLENTİLER

C2 modülü, ek eklentileri almak için uzaktan komutları destekler. Bilinen yetenekleri arasında tuş kaydı, pano yakalama, ekran izleme ve kripto para cüzdanlarını (özellikle Ethereum ve Tether varlıklarını barındıran cüzdanları) ele geçirmek için tasarlanmış araçlar bulunur. Bu olaylarda gözlemlenen bazı eklentilerin, Winos çerçevesinden yeniden kullanılan bileşenler olduğu ve sürekli ekran gözetimi yapabildiği anlaşılıyor.

ENFEKSİYONUN FARK EDİLMESİ NEDEN ZOR?

Yükleyici, meşru uygulamayı kötü amaçlı yük ile birlikte paketlediği için, güvenilir gibi görünen bir programı indiren bir kullanıcı hiçbir sorun fark etmeyebilir. Saldırganlar, üst sıralardaki arama sonuçlarını bile silah olarak kullanarak, iyi niyetli kullanıcıların ele geçirilmiş paketleri yükleme olasılığını artırıyor.

SAVUNMA ÖNERİLERİ

• Yazılım indirmeden önce alan adlarını dikkatlice doğrulayın; ince karakter değişikliklerini ve uyumsuz URL'leri arayın.
• Arama sonuçlarından indirmeler yerine resmi satıcı sitelerini veya doğrulanmış uygulama mağazalarını tercih edin.
• Yükleyici davranışını (sadece dosya imzalarını değil) denetleyen ve DLL yan yüklemesine ve COM ele geçirmeye karşı korumayı etkinleştiren uç nokta korumasını kullanın.
• Yükleyici bileşenlerinden olağandışı işlem belleği kullanımını ve beklenmeyen paket açma/çıkarma davranışlarını izleyin.

ÇÖZÜM

Bu kampanya, saldırganların SEO manipülasyonu, benzer alan adları, çok aşamalı yönlendirme ve gelişmiş DLL tabanlı kaçınma yöntemlerini bir araya getirerek Gh0st-RAT ailesine ait kötü amaçlı yazılımları Çince konuşan kullanıcılara nasıl ilettiklerini gösteriyor. Meşru ikili dosyalar ve gizli yüklerin birleşimi, dikkatli olmayı zorunlu kılıyor: kaynakları doğrulayın, alan adlarını inceleyin ve çalışma zamanı davranışının yanı sıra dosya itibarını da inceleyen savunmalar kullanın.