Киберпреступники атакуют китайскоязычных пользователей с помощью нового троянца kkRAT

Эксперты Zscaler ThreatLabz обнаружили масштабную вредоносную кампанию, нацеленную на китайскоязычных пользователей и действующую с начала мая 2025 года. Злоумышленники распространяют три типа троянцев удаленного доступа: ValleyRAT, FatalRAT и ранее неизвестный kkRAT, который демонстрирует черты сходства с Ghost RAT и Big Bad Wolf - инструментами, традиционно используемыми китайскими киберпреступными группами.

Описание

Атака начинается с фишинговых страниц, размещенных на GitHub Pages и имитирующих установщики популярного программного обеспечения, такого как Ding Talk. Жертвам предлагается загрузить ZIP-архив, содержащий вредоносный исполняемый файл. На первом этапе вредоносная программа проводит сложные проверки на наличие песочниц и виртуальных машин, анализируя стабильность времени выполнения и конфигурацию оборудования. При обнаружении признаков анализа программа маскирует свою деятельность, изменяя структуру PEB и переименовывая процессы под системные файлы.

После успешного прохождения проверок вредоносное ПО применяет технику Bring Your Own Vulnerable Driver (BYOVD) для отключения средств защиты. Используя уязвимый драйвер RTCore64.sys, оно удаляет зарегистрированные обратные вызовы антивирусных решений и EDR-систем, включая ObRegister, MiniFilter и CmRegister callbacks. Затем программа отключает сетевые адаптеры, что нарушает связь средств защиты с серверами производителей, и приступает к поиску и принудительному завершению процессов известных китайских антивирусов, таких как 360 Total Security, QQ电脑管家, Kingsoft Internet Security и других.

На следующем этапе вредоносная программа загружает и расшифровывает конфигурацию из удаленного источника, используя сложное структурирование данных с разделителями. В зависимости от имени процесса она выбирает один из 62 вариантов полезной нагрузки. Финальная стадия атаки involves подмену легитимных исполняемых файлов и использование техники side-loading для запуска malicious DLL, которая расшифровывает и выполняет один из троянцев: ValleyRAT, FatalRAT или kkRAT.

Новый троянец kkRAT примечателен сочетанием функциональности Ghost RAT и Big Bad Wolf. Он использует усовершенствованный сетевой протокол с дополнительным слоем шифрования после сжатия данных zlib. Его возможности включают манипуляцию буфером обмена для подмены криптовалютных адресов, установку инструментов удаленного управления Sunlogin и GotoHTTP, а также ретрансляцию сетевого трафика для обхода брандмауэров и VPN.

kkRAT собирает детальную информацию о системе, включая данные о оборудовании, установленных антивирусах, учетных записях мессенджеров и правах доступа. Он поддерживает широкий спектр команд, от управления процессами и сетевыми соединениями до обеспечения устойчивости в системе. Особую опасность представляет функция замены криптовалютных адресов в буфере обмена, что напрямую угрожает финансовым активам жертв.

Кампания демонстрирует высокий уровень технической изощренности и глубокое понимание механизмов защиты, характерных для китайского рынка. Использование легитимных сервисов для размещения фишинговых материалов, многоэтапная архитектура атаки и сочетание как известных, так и новых вредоносных инструментов делают эту угрозу особенно опасной для целевой аудитории. Специалисты по безопасности рекомендуют проявлять повышенную осторожность при загрузке программного обеспечения и обеспечивать регулярное обновление систем защиты.