Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Phần mềm độc hại Winos RAT

Phần mềm độc hại Winos RAT

Đến năm Mezo năm Phần mềm độc hại, Công cụ quản lý từ xa
Dịch sang:

Người dùng nói tiếng Trung đã trở thành mục tiêu của một chiến dịch đầu độc SEO tập trung, thay thế các trang tải xuống phần mềm thật bằng các trang giả mạo trông rất giống thật. Kẻ tấn công đã đẩy các trình cài đặt độc hại thông qua thứ hạng tìm kiếm bị thao túng và các tên miền gần như giống hệt nhau, giúp nạn nhân dễ dàng lấy được phần mềm trông giống như phần mềm hợp pháp nhưng thực chất là phần mềm độc hại truy cập từ xa.

CÁCH THỨC HOẠT ĐỘNG CỦA CHIẾN DỊCH

Các tác nhân đe dọa đã tăng cường các trang giả mạo trong kết quả tìm kiếm bằng cách lạm dụng plugin SEO và đăng ký các tên miền trông giống hệt các nhà cung cấp hợp pháp. Chúng dựa vào việc hoán đổi ký tự tinh vi và văn bản tiếng Trung trôi chảy để lừa người dùng nhấp vào. Khi nạn nhân truy cập vào trang tải xuống bị nhiễm trojan, gói cài đặt sẽ chứa cả ứng dụng mong muốn và một thành phần độc hại ẩn. Sự pha trộn này khiến người dùng thông thường khó có thể phát hiện.

MỤC TIÊU VÀ THỜI GIAN

Vào tháng 8 năm 2025, các nhà nghiên cứu phát hiện ra rằng chiến dịch này chủ yếu thu hút người dùng tìm kiếm các công cụ giao tiếp và năng suất phổ biến. Ví dụ về các mục tiêu tìm kiếm được sử dụng để dụ nạn nhân bao gồm:

DeepL Dịch

Google Chrome

Tín hiệu

Điện tín

WhatsApp

Văn phòng WPS

CÁC HỆ PHẦN MỀM ĐỘC HẠI LIÊN QUAN

Các cuộc tấn công đã dẫn đến việc triển khai các biến thể liên quan đến Gh0st RAT, đáng chú ý là HiddenGh0st và Winos (còn được gọi là ValleyRAT). Winos được cho là thuộc một nhóm tội phạm mạng được theo dõi dưới nhiều biệt danh — Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 và Void Arachne — và được cho là đã hoạt động ít nhất từ năm 2022.

CHUỖI GIAO HÀNG — sự cố kỹ thuật

Một tệp JavaScript nhỏ có tên nice.js điều phối quá trình phân phối nhiều bước. Tập lệnh liên tục lấy phản hồi JSON: liên kết tải xuống ban đầu trả về JSON chứa một liên kết phụ, liên kết thứ hai này trả về một tải trọng JSON khác, cuối cùng chuyển hướng đến URL trình cài đặt độc hại. Việc chuyển hướng theo lớp này vừa làm lu mờ vị trí tải trọng cuối cùng vừa làm phức tạp việc phát hiện đơn giản.

Bên trong trình cài đặt:

Một DLL độc hại có tên EnumW.dll thực hiện một loạt kiểm tra chống phân tích và sau đó trích xuất một DLL thứ hai (vstdlib.dll). Việc trích xuất và hành vi của vstdlib.dll được thiết kế để làm tăng mức sử dụng bộ nhớ và làm chậm công cụ phân tích, cản trở việc kiểm tra tự động hoặc thủ công.

DLL thứ hai sẽ giải nén và khởi chạy payload chính chỉ sau khi dò tìm sự hiện diện của một phần mềm diệt virus cụ thể trong hệ thống. Nếu phát hiện thành phần AV đó, phần mềm độc hại sẽ sử dụng kỹ thuật TypeLib COM hijacking để thiết lập tính bền bỉ và cuối cùng thực thi một tệp nhị phân Windows có tên insalivation.exe.

Nếu không có phần mềm diệt vi-rút, phần mềm độc hại sẽ tạo một phím tắt Windows trỏ đến cùng một tệp thực thi để duy trì sự tồn tại.

TẢI TRỌNG CUỐI CÙNG: SIDELoadING AIDE.dll

Mục đích cuối cùng là tải một DLL có tên là AIDE.dll. Khi được kích hoạt, AIDE.dll sẽ triển khai ba chức năng hoạt động chính:

  • Chỉ huy và kiểm soát (C2): truyền thông được mã hóa với máy chủ từ xa để hướng dẫn và trao đổi dữ liệu.
  • Heartbeat: thu thập thông tin định kỳ về hệ thống và nạn nhân, bao gồm liệt kê các tiến trình đang chạy và đối chiếu chúng với danh sách các sản phẩm bảo mật được mã hóa cứng.
  • Giám sát: xác nhận tính liên tục, theo dõi hoạt động của người dùng và gửi tín hiệu thường xuyên về C2.

CÁC KHẢ NĂNG VÀ PLUGIN BỔ SUNG

Mô-đun C2 hỗ trợ các lệnh từ xa để truy xuất các plugin bổ sung. Các khả năng đã biết bao gồm ghi lại thao tác bàn phím, ghi lại clipboard, giám sát màn hình và các công cụ được thiết kế để chiếm đoạt ví tiền điện tử — cụ thể là ví chứa tài sản Ethereum và Tether. Một số plugin được quan sát thấy trong các sự cố này dường như là các thành phần được tái sử dụng từ nền tảng Winos và có khả năng giám sát màn hình liên tục.

TẠI SAO VIỆC NHIỄM TRÙNG KHÓ PHÁT HIỆN

Vì trình cài đặt đóng gói ứng dụng hợp pháp cùng với phần mềm độc hại, người dùng tải xuống một chương trình trông có vẻ đáng tin cậy có thể không bao giờ nhận thấy bất kỳ điều gì bất thường. Kẻ tấn công thậm chí còn lợi dụng cả những kết quả tìm kiếm có thứ hạng cao, làm tăng khả năng người dùng có thiện chí sẽ cài đặt các gói bị xâm phạm.

KHUYẾN NGHỊ QUỐC PHÒNG

  • Luôn kiểm tra tên miền cẩn thận trước khi tải phần mềm; chú ý các ký tự thay thế tinh vi và URL không khớp.
  • Nên tải xuống từ trang web của nhà cung cấp chính thức hoặc cửa hàng ứng dụng đã được xác minh thay vì tải xuống từ kết quả tìm kiếm.
  • Sử dụng tính năng bảo vệ điểm cuối để kiểm tra hành vi của trình cài đặt (không chỉ chữ ký tệp) và cho phép bảo vệ chống lại việc tải DLL và chiếm quyền COM.
  • Theo dõi việc sử dụng bộ nhớ quy trình bất thường và hành vi giải nén/trích xuất bất ngờ từ các thành phần cài đặt.

PHẦN KẾT LUẬN

Chiến dịch này cho thấy cách kẻ tấn công kết hợp thao túng SEO, tên miền tương tự, chuyển hướng nhiều giai đoạn và né tránh tinh vi dựa trên DLL để phát tán mã độc họ Gh0st-RAT đến người dùng nói tiếng Trung. Sự kết hợp giữa các tệp nhị phân hợp pháp và các tải trọng ẩn khiến việc cảnh giác trở nên vô cùng quan trọng: xác minh nguồn, kiểm tra kỹ lưỡng tên miền và sử dụng các biện pháp phòng thủ xem xét hành vi thời gian chạy cũng như danh tiếng của tệp.

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
35,315
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...