30/06/25
Китайская хакерская группа Silver Fox, известная также под именем Void Arachne, вновь оказалась в центре внимания специалистов по информационной безопасности. По данным компании Netskope, зафиксирована новая вредоносная кампания, в рамках которой злоумышленники создают поддельные сайты популярных программ, включая WPS Office, Sogou и DeepSeek, чтобы заразить компьютеры пользователей шпионским ПО.
Как отмечается, фальшивые веб-ресурсы, среди которых обнаружен домен «wpsice[.]com», маскируются под официальные страницы известных приложений. Основной удар направлен на китаеязычную аудиторию — это подтверждает наличие на сайтах MSI-установщиков, выполненных исключительно на китайском языке, пишут в Securitylab.
Через эти вредоносные установщики на устройства загружается набор инструментов, включающий троян Sainbox RAT — модифицированную версию широко известного Gh0st RAT — а также скрытый драйвер на базе открытого проекта Hidden, предназначенный для маскировки следов присутствия вредоносного кода.
Специалисты Netskope подчёркивают, что такой подход позволяет злоумышленникам эффективно управлять заражёнными системами и скрывать признаки атаки без необходимости разрабатывать собственные сложные инструменты. Использование готовых решений вроде Hidden упрощает задачу, сохраняя высокий уровень незаметности.
В рамках текущей кампании злоумышленники применяют методику подмены легитимных библиотек — DLL Sideloading . Загружаемый через сайт установщик запускает легитимный исполняемый файл под названием «shine.exe», который, в свою очередь, инициирует выполнение модифицированной библиотеки «libcef.dll». Эта библиотека извлекает и активирует вредоносный код, спрятанный внутри текстового файла «1.txt», находящегося в составе инсталлятора.
Итогом является загрузка дополнительной DLL — именно она обеспечивает запуск Sainbox RAT и скрытного драйвера. Этот драйвер эффективно маскирует активность трояна, скрывая процессы и ключи реестра, связанные с вредоносным ПО.
Примечательно, что Silver Fox не впервые прибегает к такой тактике. Летом 2024 года специалисты eSentire зафиксировали аналогичную кампанию, когда через поддельные сайты браузера Google Chrome распространялся Gh0st RAT. А в феврале текущего года компания Morphisec обнаружила ещё одну атаку той же группы — тогда мошенники использовали фальшивые сайты, рекламирующие браузер, чтобы заразить пользователей другой модификацией Gh0st RAT — известной под названием ValleyRAT (или Winos 4.0).
По данным Proofpoint, ValleyRAT впервые был замечен осенью 2023 года и применялся преимущественно против китаеязычных пользователей. Тогда же распространялись и другие инструменты, включая Sainbox RAT и Purple Fox.
