Киберпреступники атакуют китайскоязычных пользователей через поддельные сайты с вредоносным ПО

Как показало исследование, злоумышленники создали множество фальшивых сайтов, имитирующих доверенных поставщиков ПО. Эти ресурсы распространяли несколько семейств вредоносного ПО, включая Hiddengh0st и варианты Winos.

Ключевым элементом атаки стал скрипт nice.js, который управлял процессом доставки вредоносной нагрузки. Многоэтапная цепочка включала последовательные запросы, возвращающие данные в формате JSON, которые в конечном итоге перенаправляли на установщик с вредоносным кодом. В ходе анализа особое внимание было уделено поддельному сайту, выдававшему себя за сервис перевода DeepL.

Установочный пакет MSI сочетал легитимное программное обеспечение DeepL и вредоносные компоненты, включая файл EnumW.dll и фрагменты ZIP-архива. После запуска установщик повышал свои привилегии до уровня администратора, размещал компоненты в системных каталогах и запускал функцию ooo89 в DLL, что инициировало вредоносную активность.

Файл EnumW.dll содержал несколько механизмов защиты от анализа, включая проверку родительского процесса, контроль целостности временных задержек и анализ таблиц ACPI для выявления виртуализированной среды. После прохождения этих проверок DLL восстанавливала файл emoji.dat из фрагментов, который затем распаковывался, извлекая дополнительные компоненты, включая vstdlib.dll.

Этот файл DLL, в свою очередь, обеспечивал постоянное присутствие в системе, создавая записи в реестре, использующие такие методы, как подмена TypeLib и манипуляции с папкой автозагрузки. Модуль также проверял наличие антивируса 360 Total Security и при его обнаружении использовал тактики уклонения, такие как бессмысленное потребление памяти.

Основная нагрузка включала три модуля: Heartbeat, Monitor и командный центр (C2). Модуль Heartbeat собирал детальную информацию о системе, включая данные об антивирусном ПО, версии ОС и правах пользователя. Данные шифровались с использованием ключа, сгенерированного на основе системного времени, и передавались на серверы злоумышленников.

Модуль Monitor непрерывно отслеживал активность пользователя, процессы и параметры постоянства, а C2-модуль поддерживал широкий набор команд для удаленного управления, включая выполнение плагинов, кражу данных и перехват криптокошельков. Также была реализована функция кейлоггера, записывающая нажатия клавиш и данные буфера обмена.

Анализ показал, что злоумышленники использовали плагины для кражи данных и наблюдения за экраном, а также модули, направленные на обход защиты мессенджера Telegram. На основании сходства кода и методов атаки эксперты отнесли этот вредоносный код к вариантам семейства Winos.

Данная кампания наглядно демонстрирует, как SEO-отравление может быть использовано для целевых атак на определенные языковые группы. Даже высокие позиции в поисковой выдаче могут быть скомпрометированы, что подчеркивает необходимость тщательной проверки доменных имен перед загрузкой программного обеспечения. FortiGuard Labs продолжает мониторинг данной кампании и обновляет системы защиты для противодействия новым угрозам.

IPv4

• 137.220.152.99
• 202.95.8.47
• 27.124.13.32
• 43.248.172.13

Domains

• aisizhushou.com
• bucket00716.s3.ap-southeast-2.amazonaws.com
• deepl-fanyi.com
• telegramni.com
• wps1.com
• wws.c4p11.shop
• xiazai1.aisizhushou.io
• xiazai2.aisizhushou.io
• znrce3z.oss-ap-southeast-1.aliyuncs.com

SHA256

• 02ef393076d293b8ba0cb1019a5a4fd27bc006466e295ad58c9850e93283bca4
• 182c79c6abd5e98d407bb1e6a7b2e633bd659c29ae539b80ceeb07b9db711b6a
• 251f24e8c7e4fbe2868492b86972f24ac65e393affc63f82443303be3a2dbbb1
• 2a1ae074a0406de514b3ab03c1747fd43813d8bad9c164f390103a0480f9a6aa
• 66787d80ec42a289030bb080fa1ad596e60bd0db92dc6e1e9d66921ea23ccd0e
• 9b707db4247effdbb5f7c58a0dc00ebb2fddb56e92f987e47654590b54f6f3a6
• a32d14f28c44ec6f9b4ad961b2eb4f778077613bdf206327a2afa92a7307d31a
• b15b642930f8903f7e8c4d8955347575afd2f2abee2ee2d612ba381442026bfd
• c3afd8224cea7a743a3dea8437ff7ed6f89a62cd8f6787c4f27593faec9fc4cb
• ea59f20b418c9aa4551ac35f8398810e58735041d1625e77d13e369a701e273c