Winos RAT 惡意軟體
中文用戶已成為一場針對性SEO中毒攻擊活動的攻擊目標,該活動將真實的軟體下載頁面替換為令人信服的虛假頁面。攻擊者透過操縱的搜尋排名和幾乎相同的網域推送惡意安裝程序,使受害者輕鬆獲取看似合法的軟體,但實際上部署的是遠端存取惡意軟體。
目錄
活動如何進行
威脅行為者濫用SEO插件,註冊與合法供應商外觀相似的域名,從而提升了偽造頁面在搜尋結果中的排名。他們利用微妙的字符替換和流暢的中文文案來誘騙用戶點擊。一旦受害者進入被木馬感染的下載頁面,安裝包中不僅包含預期的應用程序,還隱藏著惡意組件。這種巧妙的結合使得一般使用者不太可能發現。
目標和時間表
研究人員於2025年8月發現,該攻擊活動主要誘騙用戶搜尋熱門的生產力和通訊工具。用於誘騙受害者的搜尋目標範例包括:
DeepL翻譯
谷歌瀏覽器
訊號
電報
WPS辦公室軟體
涉及的惡意軟體家族
這些攻擊導致了與 Gh0st RAT 相關的變種的部署,尤其是 HiddenGh0st 和 Winos(也稱為 ValleyRAT)。 Winos 被認為是網路犯罪集團的犯罪活動,該集團使用過許多別名——Silver Fox、SwimSnake、The Great Thief of Valley(Valley Thief)、UTG-Q-1000 和 Void Arachne——據信至少從 2022 年開始活躍。
交付鏈——技術故障
一個名為 nice.js 的小型 JavaScript 檔案負責協調多步驟的交付。該腳本重複獲取 JSON 回應:初始下載連結返回包含輔助連結的 JSON 數據,第二個連結返回另一個 JSON 有效載荷,最終重定向到惡意安裝程式的 URL。這種分層重定向不僅混淆了最終有效載荷的位置,也使簡單的檢測變得複雜。
安裝程式內部:
名為 EnumW.dll 的惡意 DLL 會執行一系列反分析檢查,然後提取第二個 DLL(vstdlib.dll)。 vstdlib.dll 的提取和行為旨在增加記憶體使用量並降低分析工具的速度,從而妨礙自動或手動檢查。
第二個 DLL 僅在探測系統中是否存在特定的防毒產品後才會解壓縮並啟動主負載。如果偵測到該防毒元件,該惡意軟體就會使用 TypeLib COM 劫持來建立持久性,並最終執行名為 insalivation.exe 的 Windows 二進位檔案。
如果沒有防毒軟體,惡意軟體就會建立指向相同可執行檔的 Windows 捷徑來實現持久性。
最終有效載荷:SIDELoading AIDE.dll
最終目的是側載一個名為 AIDE.dll 的 DLL。一旦激活,AIDE.dll 將實現以下三個主要操作功能:
- 命令與控制 (C2):與遠端伺服器進行加密通信,以進行指令和資料交換。
- 心跳:定期收集系統和受害者訊息,包括列舉正在運行的進程並根據安全產品的硬編碼清單進行檢查。
- 監控:確認持久性、使用者活動追蹤以及定期向 C2 發送信標。
附加功能和插件
C2模組支援遠端命令來取得額外的插件。已知功能包括鍵盤記錄、剪貼簿捕獲、螢幕監控以及劫持加密貨幣錢包(特別是持有以太坊和Tether資產的錢包)的工具。在這些事件中觀察到的幾個插件似乎是從Winos框架中重複使用的元件,能夠持續監控螢幕。
為什麼感染很難發現
由於安裝程式將合法應用程式與惡意負載捆綁在一起,下載看似受信任程式的用戶可能永遠不會注意到任何異常。攻擊者甚至將排名靠前的搜尋結果也武器化,這增加了善意用戶安裝受感染軟體包的可能性。
防禦建議
- 下載軟體之前,請務必仔細驗證網域名稱;尋找細微的字元替換和不符的 URL。
- 喜歡官方供應商網站或經過驗證的應用程式商店,而不是從搜尋結果下載。
- 使用檢查安裝程式行為(而不僅僅是檔案簽章)的端點保護,並啟用針對 DLL 側載和 COM 劫持的保護。
結論
這次攻擊活動展示了攻擊者如何結合 SEO 操縱、相似域名、多階段重定向以及基於 DLL 的複雜規避技術,將 Gh0st-RAT 系列惡意軟體推送給中文用戶。合法二進位與隱藏有效載荷的混合使用,使得保持警惕至關重要:驗證來源、仔細檢查域名,並使用監控運行時行為和文件信譽的防禦措施。
