Обнаружена новая кампания: злоумышленники создают фальшивые сайты с рекламой популярных программ, таких как WPS Office, Sogou и DeepSeek, чтобы распространять опасные трояны Sainbox RAT и руткит Hidden.
С большой долей вероятности за этими атаками стоит китайская хакерская группа Silver Fox (также известная как Void Arachne), судя по схожим методам, которые они использовали в предыдущих кампаниях.
Фишинговые сайты, например "wpsice[.]com", распространяют вредоносные MSI установщики на китайском языке, что говорит о том, что злоумышленники нацелены именно на китайскоязычную аудиторию.
"Вредоносное ПО включает Sainbox RAT — разновидность Gh0st RAT, а также модифицированный открытый руткит Hidden," — рассказал исследователь из Netskope Threat Labs, Леандро Фроэш.
Это не первый случай использования этой группы подобной тактики. В июле 2024 года eSentire сообщали о кампании, направленной на китайских пользователей Windows, с помощью поддельных сайтов Google Chrome, распространявших Gh0st RAT.
Ранее, в феврале этого года, Morphisec выявили другую кампанию с фальшивыми сайтами, рекламирующими браузер и распространявшими ValleyRAT (также известный как Winos 4.0) — еще одну версию Gh0st RAT.
ValleyRAT впервые был задокументирован компанией Proofpoint в сентябре 2023 года в кампании, также ориентированной на китайскоязычную аудиторию, вместе с Sainbox RAT и Purple Fox.
В последней волне атак, зафиксированной Netskope, вредоносные MSI установщики, загружаемые с поддельных сайтов, запускают легитимный исполняемый файл с именем "shine.exe", который с помощью техники DLL side-loading загружает поддельную библиотеку "libcef.dll".
Эта библиотека считывает из текстового файла ("1.txt"), входящего в установщик, shellcode и выполняет его, что запускает еще один DLL-модуль — трояна удаленного доступа Sainbox.
"В разделе .data исследованного вредоносного файла содержится еще один PE-исполняемый бинарник, который может запускаться в зависимости от конфигурации вредоносного ПО," — уточнил Фроэш. — "Этот встроенный файл — драйвер руткита, основанный на открытом проекте Hidden."
Sainbox умеет загружать дополнительные вредоносные компоненты и красть данные, а Hidden даёт злоумышленникам широкий арсенал для скрытия процессов и ключей реестра Windows на заражённых устройствах.
"Совмещение модифицированных известных RAT, таких как Gh0st RAT, с открытыми ядровыми руткитами вроде Hidden, позволяет хакерам иметь полный контроль и оставаться незаметными без необходимости создавать всё с нуля," — подытожили специалисты Netskope.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru