Китайские хакеры используют поддельные установщики для распространения вредоносного ПО через фальшивые сайты

remote access Trojan

В ходе расследования кибератак, направленных на китайскоязычных пользователей, исследователи из Netskope Threat Labs обнаружили новую кампанию, в которой злоумышленники распространяют вредоносное ПО с помощью поддельных установщиков популярных программ. Внимание экспертов привлекли фальшивые инсталляторы таких программ, как WPS Office, Sogou и DeepSeek, замаскированные под легальное программное обеспечение. Файлы MSI, используемые в атаке, распространялись через фишинговые сайты, оформленные на китайском языке, что указывает на целевую аудиторию - носителей китайского языка.

Описание

Средний уровень уверенности позволяет связать эту кампанию с китайской хакерской группировкой Silver Fox. Основанием для такого вывода стали тактики, методы и процедуры (TTP), включая использование фишинговых страниц, имитирующих официальные сайты ПО, применение модифицированных версий Gh0stRAT и целенаправленную атаку на китайскоязычных пользователей. Вредоносные нагрузки включали в себя удаленный троян Sainbox RAT (разновидность Gh0stRAT) и руткит Hidden, основанный на открытом исходном коде.

Процесс заражения начинается с того, что жертва попадает на фальшивую страницу и скачивает поддельный установщик. Например, сайт может выглядеть как официальный портал WPS Office, но при нажатии на кнопку загрузки пользователь получает вредоносный файл с другого URL. В ходе анализа эксперты обнаружили несколько подобных поддельных установщиков, большинство из которых были MSI-файлами.

Установщики выполняли несколько действий, включая запуск легитимного файла Shine.exe, который использовался для подгрузки вредоносной DLL libcef.dll. Эта библиотека имитировала настоящую libcef из Chromium Embedded Framework, но содержала вредоносный код. Кроме того, установщик создавал в той же папке текстовый файл 1.txt, содержащий шелл-код и дополнительную вредоносную нагрузку.

После запуска MSI-файла на компьютере жертвы устанавливалась настоящая программа (например, DeepSeek), но параллельно запускался вредоносный процесс. Функция в DLL libcef.dll прописывала путь к Shine.exe в реестре Windows (ключ Run) для обеспечения постоянного доступа к системе. Затем файл 1.txt считывался в память, и управление передавалось на его содержимое - шелл-код, созданный с использованием инструмента sRDI. Этот код предназначался для рефлексивной загрузки DLL непосредственно в память, после чего вызывалась экспортируемая функция Shellex из файла Install.dll.

Анализ показал, что Install.dll представляет собой модификацию Sainbox RAT, основанного на Gh0stRAT. Внутри его секции .data обнаружился еще один исполняемый файл - руткит Hidden, который загружался в систему как драйвер. Этот руткит позволял скрывать процессы, файлы и записи реестра, а также защищал вредоносное ПО от обнаружения антивирусами.

Таким образом, злоумышленники получали полный контроль над зараженной системой: могли похищать данные, загружать дополнительные вредоносные модули и скрывать свою активность. Использование открытых инструментов (таких как Gh0stRAT и Hidden) снижает потребность в разработке собственного кода и упрощает масштабирование атак.

Этот случай демонстрирует, как популярность искусственного интеллекта и доверие к известному ПО используются для социальной инженерии. Фишинговые страницы служат приманкой, а вредоносная нагрузка маскируется под легальные файлы, чтобы избежать подозрений. Эксперты Netskope Threat Labs продолжат мониторинг активности группировки Silver Fox и эволюции Sainbox RAT.

Индикаторы компрометации

IPv4

  • 154.23.221.136
  • 206.119.124.126
  • 45.207.12.71

MD5

  • 0056d6f321a87caf26ee800933ba4bcf
  • 1b1ebdb45ed02695370227e7c897910e
  • 487fb061ed51046206e69b9c8f41e935
  • 6442971b32bad1f3b30306b60544faea
  • 78f0f18cddf3d9ff82d001a2b5eaa429
  • 8c6df59659d4407fa4a07cc094f46dd5
  • 966310f10069f8443fe4d8adf4a7bd80
  • a04c9630adf4eadf3ac896bff8d9ead8
  • ab9ab337c4f4284b1176fa65817df5fe
  • ba6a4699f59e557537bcb6463b4ba75b
  • bb43584e3308237bd97fb2cd483898a0
  • c08b995f8a76f1059ba188dc862c98a2
  • c12f28d8a2e5726c8125c5738d97d478
  • c4582684928195f0ee6d2411bdf5dfad
  • d65853c14a5652b91f154e72cd1d4979
  • dad8c653f11f49df5ccb429b3f1b65bb
  • e59062d8ab72d71a9b9ba8b4152e730d
  • f0893bba522061e58299c295f5838dfc
  • fe56bca80c57480cd68c43c192fca295
Комментарии: 0