Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Winos 4.0: новый троян от Void Arachne ловит китайских пользователей, ищущих VPN

20/06/24

hack58

Исследователи Trend Micro сообщили о новой киберпреступной группировке, отслеживаемой под именем Void Arachne. Эта группа хакеров нацелена преимущественно на китайских пользователей и использует вредоносные установочные файлы Windows Installer (MSI), замаскированные под VPN с целью распространения C2-системы Winos 4.0. Об этом пишет Securitylab.

По данным специалистов Trend Micro, злоумышленники также распространяют вредоносные MSI-файлы, содержащие программы для создания фальшивых порнографических видео и программное обеспечение на базе ИИ для изменения голоса и лица.

Для распространения зловредного ПО Winos 4.0. используются тактики поисковой оптимизации (SEO), а также задействуются социальные сети и мессенджеры. Злоумышленники рекламируют популярное программное обеспечение, такое как Google Chrome, LetsVPN, QuickVPN, а также языковой пакет Telegram для упрощённого китайского языка.

Альтернативные цепочки атак, выявленные исследователями, включают также использование модифицированных установщиков, распространяемых через китаеязычные Telegram-каналы.

Ссылки на вредоносные файлы появляются благодаря методам так называемой «чёрной SEO» и ведут на специальную инфраструктуру, созданную для хранения установочных файлов в виде ZIP-архивов. Для атак через Telegram-каналы, зловредные MSI-установщики и ZIP-архивы размещаются непосредственно на платформе.

Установочные файлы предназначены для изменения правил брандмауэра с целью разрешения входящего и исходящего трафика, связанного с вредоносным ПО, при подключении к общественным сетям. Они также устанавливают загрузчик, который расшифровывает и выполняет второй этап вредоносного ПО, запускающий скрипт Visual Basic для обеспечения постоянства на хосте и выполнения неизвестного пакетного скрипта, доставляя вредонос Winos 4.0.

Winos 4.0, написанный на C++, способен проводить DDoS-атаки с использованием TCP/UDP/ICMP/HTTP, выполнять поиск на локальных дисках, управлять файлами, веб-камерой, делать скриншоты, записывать звук с микрофона, вести кейлоггинг и предоставлять удалённый доступ к оболочке.

Основная особенность Winos 4.0 — это система плагинов, реализующая все функции через 23 компонента, скомпилированных для 32- и 64-битных версий Windows. Система может быть дополнена внешними плагинами, интегрированными самими злоумышленниками.

Основной компонент Winos также включает методы обнаружения присутствия защитного ПО, распространённого в Китае, а также отвечает за загрузку плагинов, очистку системных журналов и загрузку дополнительных вредоносных программ с предоставленного URL.

Исследователи Trend Micro отмечают, что столь большой ажиотаж вокруг VPN-клиентов в Китае обусловлен работой Великого китайского файрвола, в связи с чем нацелились именно на этот сегмент интернет-пользователей.

Темы:КитайУгрозытрояныVPN
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...