16/09/25
Согласно отчету Fortinet FortiGuard Labs, злоумышленники добивались высоких позиций в Google с помощью SEO-плагинов и регистрировали домены, почти неотличимые от настоящих ресурсов. Для подмены использовались минимальные изменения символов и правдоподобные описания, благодаря чему жертвы скачивали зараженные установщики вместо оригинальных программ, пишет Securitylab.
Через такую схему на устройства доставлялись модификации RAT-трояна из семейства Gh0st RAT — варианты HiddenGh0st и Winos (ValleyRAT). Последний связывают с группировкой Silver Fox (SwimSnake, Valley Thief, UTG-Q-1000, Void Arachne), которая активна минимум с 2022 года.
Атака начиналась с того, что пользователи искали в Google такие продукты, как DeepL Translate, Google Chrome, Signal, Telegram, WhatsApp и WPS Office. Вместо официальных ресурсов они попадали на тщательно сконструированные копии, где скачивание инициировалось через троянизированные инсталляторы. За процесс отвечал скрипт, который формировал многоступенчатую цепочку: сначала запрашивался JSON-файл с дополнительной ссылкой, затем новый JSON указывал на финальный адрес загрузки вредоносного пакета. Внутри установщика находился DLL-модуль, выполнявший проверки для обхода анализа. Он извлекал вторую библиотеку, задача которой — перегрузить инструменты анализа, заставив их расходовать ресурсы и замедлять работу.
Та же библиотека обеспечивала распаковку и запуск основной нагрузки. Перед этим проверялось наличие антивируса 360 Total Security. Если антивирус установлен, то вредонос использовал перехват COM-объекта TypeLib для закрепления в системе и запуска файла insalivation.exe. При отсутствии антивируса закрепление обеспечивалось через ярлык Windows, указывающий на тот же исполняемый файл.
Финальная стадия заключалась в загрузке AIDE.dll, которая активировала три ключевых компонента. Первый — C2-модуль, отвечающий за зашифрованное взаимодействие с удаленным сервером и загрузку дополнительных плагинов. Второй — Heartbeat, собирающий сведения о системе, включая список работающих процессов с проверкой на наличие средств безопасности. Третий — Monitor, который отслеживал активность пользователя, подтверждал сохранение устойчивости и регулярно отправлял сигналы на управляющий сервер.
Функции управления включали возможность устанавливать плагины, перехватывать ввод с клавиатуры и содержимое буфера обмена, а также похищать криптовалютные кошельки, связанные с Ethereum и Tether. Часть плагинов предоставляла возможность делать скриншоты, и ранее они уже были зафиксированы в составе инструментария Winos.
Специалисты отмечают, что инсталляторы содержали одновременно и легитимное приложение, и вредоносную часть, из-за чего пользователи не замечали заражения. Кроме того, подделки попадали даже в верхние позиции поисковой выдачи, что делает проверку доменных имен и источников загрузки критически важной мерой безопасности.
