Шкідливе програмне забезпечення Winos RAT
Китайськомовні користувачі стали мішенню цілеспрямованої кампанії з SEO-отруєння, яка замінює справжні сторінки завантаження програмного забезпечення переконливими підробками. Зловмисники просували шкідливі інсталятори через маніпульовані рейтинги пошуку та майже ідентичні домени, що полегшує жертвам отримання програмного забезпечення, яке виглядає як легітимне, але насправді розгортає шкідливе програмне забезпечення з віддаленим доступом.
Зміст
ЯК ПРАЦЮЄ КАМПАНІЯ
Зловмисники підвищували кількість підроблених сторінок у результатах пошуку, зловживаючи SEO-плагінами та реєструючи схожі домени, які візуально імітують законних постачальників. Вони покладалися на ледь помітні заміни символів та вільний китайський текст, щоб обдурити людей та змусити їх натискати на посилання. Щойно жертва потрапляє на сторінку завантаження, заражену трояном, інсталяційний пакет містить як очікуваний додаток, так і прихований шкідливий компонент. Таке поєднання робить виявлення звичайними користувачами малоймовірним.
ЦІЛІ ТА ЧАСОВІ ГРАФІКИ
У серпні 2025 року дослідники виявили, що кампанія в першу чергу заманює користувачів, які шукають популярні інструменти для продуктивності та комунікації. Приклади пошукових цілей, що використовуються для заманювання жертв, включають:
DeepL Переклад
Google Chrome
Сигнал
Телеграма
Офіс WPS
ЗАЛЕЖІЛИ СІМЕЙСТВА ШКІДЛИВОГО ПРОГРАМН ...
Атаки призвели до розгортання варіантів, пов'язаних з Gh0st RAT, зокрема HiddenGh0st та Winos (також відомого як ValleyRAT). Winos відносять до кластера кіберзлочинності, який відстежують під багатьма псевдонімами — Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 та Void Arachne — і вважається, що він активний щонайменше з 2022 року.
ЛАНЦЮГ ПОСТАВОК — технічна поломка
Невеликий файл JavaScript з назвою nice.js керує багатоетапною доставкою. Скрипт неодноразово отримує відповіді JSON: початкове посилання для завантаження повертає JSON, що містить вторинне посилання, це друге посилання повертає інше корисне навантаження JSON, яке зрештою перенаправляє на URL-адресу інсталятора шкідливого програмного забезпечення. Таке багаторівневе перенаправлення приховує кінцеве розташування корисного навантаження та ускладнює просте виявлення.
Всередині інсталятора:
Шкідлива DLL-бібліотека з назвою EnumW.dll виконує набір перевірок на наявність антианалізу, а потім витягує другу DLL-бібліотеку (vstdlib.dll). Вилучення та поведінка vstdlib.dll спрямовані на збільшення використання пам'яті та уповільнення роботи інструментів аналізу, перешкоджаючи автоматизованій або ручній перевірці.
Друга DLL-бібліотека розпаковує та запускає основне корисне навантаження лише після перевірки системи на наявність певного антивірусного продукту. Якщо цей антивірусний компонент виявляється, шкідливе програмне забезпечення використовує захоплення COM-компонента TypeLib для встановлення персистентності та зрештою виконання бінарного файлу Windows під назвою insalivation.exe.
Якщо антивірус відсутній, шкідливе програмне забезпечення створює ярлик Windows, який вказує на той самий виконуваний файл, щоб забезпечити стійкість.
ФІНАЛЬНЕ КОРИСНЕ НАВАНТАЖЕННЯ: SIDELOADING AIDE.dll
Кінцева мета полягає в завантаженні DLL-бібліотеки під назвою AIDE.dll. Після активації AIDE.dll реалізує три основні операційні можливості:
- Командно-контрольний зв'язок (C2): зашифрований зв'язок з віддаленим сервером для обміну інструкціями та даними.
- Серцебиття: періодичний збір інформації про систему та жертву, включаючи перерахування запущених процесів та їх перевірку на відповідність жорстко запрограмованому списку продуктів безпеки.
- Монітор: підтвердження збереження, відстеження активності користувачів та регулярне повернення сигналу до C2.
ДОДАТКОВІ МОЖЛИВОСТІ ТА ПЛАГІНИ
Модуль C2 підтримує віддалені команди для отримання додаткових плагінів. Відомі можливості включають кейлоггинг, захоплення буфера обміну, моніторинг екрана та інструменти, призначені для захоплення криптовалютних гаманців, зокрема гаманців, що містять активи Ethereum та Tether. Кілька плагінів, що спостерігалися в цих інцидентах, схоже, є повторно використаними компонентами з фреймворку Winos і здатні до постійного спостереження за екраном.
ЧОМУ ІНФЕКЦІЮ ВАЖКО ВИЯВИТИ
Оскільки інсталятор поєднує легітимну програму зі шкідливим навантаженням, користувач, який завантажує програму, що виглядає як надійна, може навіть не помітити нічого підозрілого. Зловмисники перетворили на зброю навіть високопоставлені результати пошуку, що збільшує ймовірність того, що користувачі з добрими намірами встановлять скомпрометовані пакети.
РЕКОМЕНДАЦІЇ ЩОДО ОБОРОНИ
- Завжди ретельно перевіряйте доменні імена перед завантаженням програмного забезпечення; звертайте увагу на ледь помітні заміни символів та невідповідні URL-адреси.
- Надавайте перевагу офіційним сайтам постачальників або перевіреним магазинам додатків, а не завантаженням з результатів пошуку.
- Використовуйте захист кінцевих точок, який перевіряє поведінку інсталятора (не лише підписи файлів), і вмикайте захист від завантаження DLL та захоплення COM-компонентів.
ВИСНОВОК
Ця кампанія демонструє, як зловмисники поєднують маніпуляції SEO, схожі домени, багатоетапне перенаправлення та складне ухилення від DLL, щоб проштовхнути шкідливе програмне забезпечення сімейства Gh0st-RAT китайськомовним користувачам. Поєднання легітимних бінарних файлів та прихованих корисних навантажень робить пильність важливою: перевіряйте джерела, ретельно вивчайте домени та використовуйте захист, який враховує поведінку під час виконання, а також репутацію файлів.
