Πώς οι χάκερς χρησιμοποιούν ψεύτικους εγκαταστάτες για να διαδώσουν το Winos 4.0

Η αποκάλυψη μιας επικίνδυνης καμπάνιας κακόβουλου λογισμικού

Ερευνητές στον τομέα της κυβερνοασφάλειας αποκάλυψαν μια καμπάνια κακόβουλου λογισμικού που χρησιμοποιεί ψεύτικους εγκαταστάτες λογισμικού, προσομοιώνοντας δημοφιλή εργαλεία όπως το LetsVPN και το QQ Browser, για να διαδώσει το κακόβουλο πλαίσιο Winos 4.0.

Η καμπάνια αυτή, που εντοπίστηκε για πρώτη φορά από την Rapid7 τον Φεβρουάριο του 2025, περιλαμβάνει τη χρήση ενός πολυεπίπεδου, μνημονικού φορτωτή με την ονομασία Catena.

Η τεχνική της απόκρυψης και η απειλή του Catena

Σύμφωνα με τους ερευνητές ασφαλείας Άννα Σιρόκοβα και Ίβαν Φάιγκλ, “το Catena χρησιμοποιεί ενσωματωμένο shellcode και λογική αλλαγής ρυθμίσεων για να φορτώσει payloads όπως το Winos 4.0 εξ ολοκλήρου στη μνήμη, αποφεύγοντας τα παραδοσιακά εργαλεία antivirus”. Μόλις εγκατασταθεί, συνδέεται αθόρυβα με διακομιστές που ελέγχονται από επιτιθέμενους – κυρίως φιλοξενούμενους στο Χονγκ Κονγκ – για να λάβει περαιτέρω οδηγίες ή επιπλέον κακόβουλο λογισμικό.

Οι επιθέσεις, όπως εκείνες που έχουν αναπτύξει το Winos 4.0 στο παρελθόν, φαίνεται να επικεντρώνονται ειδικά σε περιβάλλοντα που μιλούν κινεζικά, με την εταιρεία κυβερνοασφάλειας να επισημαίνει τον “προσεκτικό, μακροπρόθεσμο σχεδιασμό” από έναν πολύ ικανό επιτιθέμενο.

Η ιστορία του Winos 4.0 και οι στόχοι του

Το Winos 4.0, γνωστό και ως ValleyRAT, καταγράφηκε δημόσια για πρώτη φορά από την Trend Micro τον Ιούνιο του 2024, καθώς χρησιμοποιήθηκε σε επιθέσεις που στόχευαν χρήστες που μιλούν κινεζικά μέσω κακόβουλων αρχείων Windows Installer (MSI) για εφαρμογές VPN. Η δραστηριότητα αυτή έχει αποδοθεί σε μια ομάδα απειλών που παρακολουθείται ως Void Arachne, γνωστή και ως Silver Fox.

Η εξέλιξη της καμπάνιας και οι νέες τακτικές

Οι επόμενες καμπάνιες που διανέμουν το κακόβουλο λογισμικό έχουν χρησιμοποιήσει εφαρμογές που σχετίζονται με παιχνίδια, όπως εργαλεία εγκατάστασης, ενισχυτές ταχύτητας και βοηθητικά προγράμματα βελτιστοποίησης, για να παραπλανήσουν τους χρήστες να το εγκαταστήσουν. Ένα άλλο κύμα επιθέσεων που περιγράφηκε τον Φεβρουάριο του 2025 στόχευσε οντότητες στην Ταϊβάν μέσω phishing emails που υποτίθεται ότι προέρχονταν από το Γραφείο Εθνικής Φορολογίας.

Η τεχνολογία πίσω από το Winos 4.0

Το Winos 4.0 είναι ένα προηγμένο κακόβουλο πλαίσιο γραμμένο σε C++ που χρησιμοποιεί ένα σύστημα βασισμένο σε plugins για να συλλέγει δεδομένα, να παρέχει απομακρυσμένη πρόσβαση σε shell και να εκκινεί επιθέσεις κατανεμημένης άρνησης υπηρεσίας (DDoS). Βασίζεται στα θεμέλια ενός γνωστού απομακρυσμένου trojan με την ονομασία Gh0st RAT.

Η στρατηγική της επίθεσης και το Catena

Η Rapid7 ανέφερε ότι όλα τα αντικείμενα που εντοπίστηκαν τον Φεβρουάριο του 2025 βασίζονταν σε εγκαταστάτες NSIS που περιείχαν υπογεγραμμένες εφαρμογές-δόλωμα, shellcode ενσωματωμένο σε αρχεία “.ini” και reflective DLL injection για να διατηρήσουν κρυφά την παρουσία τους στους μολυσμένους υπολογιστές και να αποφύγουν την ανίχνευση. Ολόκληρη η αλυσίδα μόλυνσης έχει λάβει το όνομα Catena.

Η εκκίνηση γίνεται από έναν εγκαταστάτη NSIS που προσποιείται ότι είναι εγκαταστάτης για το QQ Browser, έναν web browser βασισμένο στο Chromium που έχει αναπτυχθεί από την Tencent, σχεδιασμένο να παραδίδει το Winos 4.0 χρησιμοποιώντας το Catena. Το κακόβουλο λογισμικό επικοινωνεί με σκληρά κωδικοποιημένη υποδομή command-and-control (C2) μέσω της θύρας TCP 18856 και της θύρας HTTPS 443.

Η διατήρηση της παρουσίας και οι νέες προσαρμογές

Η διατήρηση της παρουσίας στον υπολογιστή επιτυγχάνεται με την εγγραφή προγραμματισμένων εργασιών που εκτελούνται εβδομάδες μετά την αρχική παραβίαση. Παρόλο που το κακόβουλο λογισμικό διαθέτει μια ρητή επιλογή για να ελέγχει τις ρυθμίσεις γλώσσας του συστήματος, συνεχίζει την εκτέλεση ακόμα και αν δεν είναι στα κινεζικά.

Αυτό υποδηλώνει ότι πρόκειται για μια ημιτελή λειτουργία και κάτι που αναμένεται να υλοποιηθεί σε μελλοντικές εκδόσεις του κακόβουλου λογισμικού. Η Rapid7 ανέφερε ότι τον Απρίλιο του 2025 εντόπισε μια “τακτική αλλαγή” που όχι μόνο άλλαξε ορισμένα στοιχεία της αλυσίδας εκτέλεσης του Catena, αλλά και ενσωμάτωσε λειτουργίες για την αποφυγή ανίχνευσης από antivirus.

Η νέα επίθεση και οι τεχνικές αποφυγής ανίχνευσης

Στην ανανεωμένη ακολουθία επίθεσης, ο εγκαταστάτης NSIS προσποιείται ότι είναι αρχείο εγκατάστασης για το LetsVPN και εκτελεί μια εντολή PowerShell που προσθέτει εξαιρέσεις στο Microsoft Defender για όλους τους δίσκους (C: έως Z:). Στη συνέχεια, εγκαθιστά επιπρόσθετα payloads, συμπεριλαμβανομένου ενός εκτελέσιμου αρχείου που λαμβάνει στιγμιότυπο των τρεχουσών διεργασιών και ελέγχει για διεργασίες που σχετίζονται με το 360 Total Security, ένα προϊόν antivirus που αναπτύχθηκε από την κινεζική εταιρεία Qihoo 360.

Το εκτελέσιμο αρχείο είναι υπογεγραμμένο με ένα ληγμένο πιστοποιητικό που εκδόθηκε από τη VeriSign και φέρεται να ανήκει στην Tencent Technology (Shenzhen). Ήταν έγκυρο από τις 11 Οκτωβρίου 2018 έως τις 2 Φεβρουαρίου 2020. Η κύρια ευθύνη του εκτελέσιμου είναι να φορτώσει ανακλαστικά ένα αρχείο DLL που, με τη σειρά του, συνδέεται με έναν διακομιστή C2 (“134.122.204[.]11:18852” ή “103.46.185[.]44:443”) για να κατεβάσει και να εκτελέσει το Winos 4.0.