- Автор темы
- #1
Специалисты обнаружили новую вредоносную кампанию Silver Fox (она же Void Arachne), в которой используются фиктивные сайты. Ресурсы якобы распространяют популярное ПО (WPS Office, Sogou и DeepSeek), но на самом деле используются для доставки Sainbox RAT и опенсорсного руткита Hidden.
По данным Netskope Threat Labs, фишинговые сайты (например, wpsice[.]com) распространяют вредоносные инсталляторы MSI на китайском языке, то есть целью этой кампании являются носители китайского языка.
Кроме того, в феврале 2025 года аналитики Morphisec обнаружили другую кампанию с поддельными сайтами, в рамках которой распространялись ValleyRAT (он же Winos 4.0) и другая версия Gh0st RAT.
Как сообщают в Netskope, на этот раз вредоносные MSI-инсталляторы, загруженные с фальшивых сайтов, предназначаются для запуска легитимного исполняемого файла shine.exe, который загружает вредоносную DLL libcef.dll, используя технику side-loading.
Основной задачей этой DLL является извлечение и запуск шеллкода из текстового файла 1.txt, присутствующего в инсталляторе, что в конечном итоге приводит к выполнению другой полезной нагрузки DLL — трояна удаленного доступа Sainbox.
Основной целью руткита является сокрытие процессов, файлов, а также ключей и значений реестра. Как объясняют исследователи, для этого он использует мини-фильтр, а также обратные вызовы ядра. Кроме того, Hidden может защищать себя и определенные процессы, а также содержит UI, доступ к которому осуществляется с помощью IOCTL.
По данным Netskope Threat Labs, фишинговые сайты (например, wpsice[.]com) распространяют вредоносные инсталляторы MSI на китайском языке, то есть целью этой кампании являются носители китайского языка.
Это не первый случай, когда Silver Fox прибегает к подобной тактике. К примеру, летом 2024 года специалисты компании eSentire описывали кампанию, направленную на китайских пользователей Windows, которая осуществлялась с помощью сайтов, якобы предназначенных для загрузки Google Chrome и распространявших Gh0st RAT.
Кроме того, в феврале 2025 года аналитики Morphisec обнаружили другую кампанию с поддельными сайтами, в рамках которой распространялись ValleyRAT (он же Winos 4.0) и другая версия Gh0st RAT.
Как сообщают в Netskope, на этот раз вредоносные MSI-инсталляторы, загруженные с фальшивых сайтов, предназначаются для запуска легитимного исполняемого файла shine.exe, который загружает вредоносную DLL libcef.dll, используя технику side-loading.
Основной задачей этой DLL является извлечение и запуск шеллкода из текстового файла 1.txt, присутствующего в инсталляторе, что в конечном итоге приводит к выполнению другой полезной нагрузки DLL — трояна удаленного доступа Sainbox.
Вышеупомянутый троян Sainbox обладает возможностями для загрузки дополнительных полезных нагрузок и кражи данных, а Hidden предоставляет злоумышленникам целый ряд функций для сокрытия связанных с вредоносным ПО процессов и ключей в реестре Windows на взломанных хостах.
Основной целью руткита является сокрытие процессов, файлов, а также ключей и значений реестра. Как объясняют исследователи, для этого он использует мини-фильтр, а также обратные вызовы ядра. Кроме того, Hidden может защищать себя и определенные процессы, а также содержит UI, доступ к которому осуществляется с помощью IOCTL.