Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Вирусы в поддельных установщиках VPN и браузеров

1
2 мин
Изображение: recraft Специалисты из Rapid7 зафиксировали новую волну атак, при которой вредоносное ПО распространяется через поддельные установщики, оформленные как легальные приложения LetsVPN и QQ Browser. Расследование показало, что злоумышленники внедряют в систему вирус Winos 4.0, используя особую схему загрузки. Механизм заражения строится на инструменте под названием Catena. По информации, предоставленной экспертами Анной Широковой и Иваном Фейглом, вредоносный код загружается поэтапно, не оставляя файлов на диске. Его выполнение происходит исключительно в оперативной памяти, что позволяет обойти классические антивирусные средства. После активации вирус выходит на связь с удалёнными серверами, большая часть которых расположена в Гонконге. С их помощью запускается следующий этап атаки — установка дополнительного вредоносного кода либо получение инструкций. По оценке исследователей, кампания ориентирована преимущественно на китайскоязычные системы. Обнаруженные элементы свидетельс

Изображение: recraft

Специалисты из Rapid7 зафиксировали новую волну атак, при которой вредоносное ПО распространяется через поддельные установщики, оформленные как легальные приложения LetsVPN и QQ Browser. Расследование показало, что злоумышленники внедряют в систему вирус Winos 4.0, используя особую схему загрузки.

Механизм заражения строится на инструменте под названием Catena. По информации, предоставленной экспертами Анной Широковой и Иваном Фейглом, вредоносный код загружается поэтапно, не оставляя файлов на диске. Его выполнение происходит исключительно в оперативной памяти, что позволяет обойти классические антивирусные средства. После активации вирус выходит на связь с удалёнными серверами, большая часть которых расположена в Гонконге. С их помощью запускается следующий этап атаки — установка дополнительного вредоносного кода либо получение инструкций.

По оценке исследователей, кампания ориентирована преимущественно на китайскоязычные системы. Обнаруженные элементы свидетельствуют о системной подготовке и участии квалифицированного атакующего. Первые следы этой схемы Rapid7 зафиксировала ещё в феврале 2025 года.

Впервые вирус Winos 4.0, также известный под наименованием ValleyRAT, стал предметом публичного внимания летом 2024 года. Тогда компания Trend Micro обнаружила активность злоумышленников, которые распространяли вредоносные файлы под видом установщиков VPN-клиентов для Windows. Угроза была классифицирована как часть операций группы Void Arachne — также фигурирующей под названием Silver Fox.

Позже выяснилось, что преступники начали применять другие формы маскировки — подставные игровые утилиты, софт для ускорения интернет-соединения и инструменты оптимизации системы. Эти подделки пользователи загружали добровольно, считая их полезными программами.

К февралю 2025 года атаки стали носить более таргетированный характер. Одна из зафиксированных кампаний была нацелена на тайваньские организации. Мошенники рассылали письма якобы от Национального налогового бюро, что позволяло создать иллюзию легитимности и упростить внедрение вредоносных компонентов.

Оригинал публикации на сайте CISOCLUB: "Хакеры распространяют вирус Winos 4.0 под видом установщиков VPN и браузеров, маскируясь под легальное ПО".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.