Winos RAT 恶意软件

中文用户已成为一场针对性SEO中毒攻击活动的攻击目标，该活动将真实的软件下载页面替换为令人信服的虚假页面。攻击者通过操纵的搜索排名和几乎相同的域名推送恶意安装程序，使受害者轻松获取看似合法的软件，但实际上部署的是远程访问恶意软件。

活动如何进行

威胁行为者滥用SEO插件，注册与合法供应商外观相似的域名，从而提升了伪造页面在搜索结果中的排名。他们利用微妙的字符替换和流畅的中文文案来诱骗用户点击。一旦受害者进入被木马感染的下载页面，安装包中不仅包含预期的应用程序，还隐藏着恶意组件。这种巧妙的结合使得普通用户不太可能发现。

目标和时间表

研究人员于2025年8月发现，该攻击活动主要诱骗用户搜索热门的生产力和通讯工具。用于诱骗受害者的搜索目标示例包括：

DeepL翻译

谷歌浏览器

信号

电报

WhatsApp

WPS办公软件

涉及的恶意软件家族

这些攻击导致了与 Gh0st RAT 相关的变种的部署，尤其是 HiddenGh0st 和 Winos（也称为 ValleyRAT）。Winos 被认为是一个网络犯罪团伙的犯罪活动，该团伙使用过许多别名——Silver Fox、SwimSnake、The Great Thief of Valley（Valley Thief）、UTG-Q-1000 和 Void Arachne——据信至少从 2022 年开始活跃。

交付链——技术故障

一个名为 nice.js 的小型 JavaScript 文件负责协调多步骤的交付。该脚本反复获取 JSON 响应：初始下载链接返回包含辅助链接的 JSON 数据，第二个链接返回另一个 JSON 有效载荷，最终重定向到恶意安装程序的 URL。这种分层重定向不仅混淆了最终有效载荷的位置，也使简单的检测变得复杂。

安装程序内部：

名为 EnumW.dll 的恶意 DLL 会执行一系列反分析检查，然后提取第二个 DLL（vstdlib.dll）。vstdlib.dll 的提取和行为旨在增加内存使用量并降低分析工具的速度，从而妨碍自动或手动检查。

第二个 DLL 仅在探测系统中是否存在特定的防病毒产品后才会解压并启动主负载。如果检测到该防病毒组件，该恶意软件就会使用 TypeLib COM 劫持来建立持久性，并最终执行名为 insalivation.exe 的 Windows 二进制文件。

如果没有防病毒软件，恶意软件就会创建指向相同可执行文件的 Windows 快捷方式来实现持久性。

最终有效载荷：SIDELoading AIDE.dll

最终目的是侧载一个名为 AIDE.dll 的 DLL。一旦激活，AIDE.dll 将实现以下三个主要操作功能：

• 命令与控制 (C2)：与远程服务器进行加密通信，用于指令和数据交换。
• 心跳：定期收集系统和受害者信息，包括枚举正在运行的进程并根据安全产品的硬编码列表进行检查。
• 监控：确认持久性、用户活动跟踪以及定期向 C2 发送信标。

附加功能和插件

C2模块支持远程命令来获取额外的插件。已知功能包括键盘记录、剪贴板捕获、屏幕监控以及劫持加密货币钱包（特别是持有以太坊和Tether资产的钱包）的工具。在这些事件中观察到的几个插件似乎是从Winos框架中重复使用的组件，能够持续监控屏幕。

为什么感染很难发现

由于安装程序将合法应用程序与恶意负载捆绑在一起，下载看似受信任程序的用户可能永远不会注意到任何异常。攻击者甚至将排名靠前的搜索结果也武器化，这增加了善意用户安装受感染软件包的可能性。

防御建议

• 下载软件之前，请务必仔细验证域名；查找细微的字符替换和不匹配的 URL。
• 更喜欢官方供应商网站或经过验证的应用商店，而不是从搜索结果中下载。
• 使用检查安装程序行为（而不仅仅是文件签名）的端点保护，并启用针对 DLL 侧载和 COM 劫持的保护。

结论

此次攻击活动展示了攻击者如何结合 SEO 操纵、相似域名、多阶段重定向以及基于 DLL 的复杂规避技术，将 Gh0st-RAT 系列恶意软件推送给中文用户。合法二进制文件与隐藏有效载荷的混合使用，使得保持警惕至关重要：验证来源、仔细检查域名，并使用监控运行时行为和文件信誉的防御措施。