Silver Fox: хакеры используют поддельный Google Translate для распространения вредоносного ПО

Атаки Silver Fox основаны на социальной инженерии. Жертвы перенаправляются на фальшивые страницы, имитирующие интерфейс Google Translate. Любое взаимодействие с сайтом - например, клик по кнопке - вызывает поддельное предупреждение о необходимости обновить Adobe Flash Player. Пользователям предлагают скачать вредоносный установщик, который, в случае запуска, заражает систему троянцем Winos RAT. Этот удаленный доступ позволяет злоумышленникам контролировать устройство, похищать данные и даже перехватывать действия пользователей в режиме реального времени.

Фишинг-кампании Silver Fox не ограничиваются подделкой Google Translate. Группировка также использует SEO-отравление и создает фальшивые сайты, имитирующие официальные ресурсы государственных учреждений и популярных программ вроде WPS Office. Таким образом хакеры расширяют зону поражения, заражая китайский интернет-сегмент вредоносными загрузками.

Схема атаки проста, но эффективна. Жертвы попадают на поддельные сайты через скомпрометированные результаты поиска или фишинговые письма. После загрузки и запуска установщика на устройстве развертывается Winos RAT - ключевой инструмент Silver Fox. Этот троянец впервые появился в 2022 году, а с тех пор его исходный код (включая версию 4.0) неоднократно утекал в даркнет, что привело к его активному использованию не только киберпреступниками, но и APT-группами.

Технический анализ показывает, что Silver Fox использует многоэтапный процесс заражения. Например, MSI-пакет включает файл aicustact.dll, который динамически загружает вредоносные модули. Параллельно запускается скрипт update.bat, выполняющий как легитимные операции установки, так и скрытые зловредные сценарии. Для обеспечения устойчивости в системе троянец внедряется в реестр Windows под видом javaw.exe, а затем загружает скомпилированный на Golang файл Microsoftdata.exe, который имитирует легитимное ПО Microsoft.

Winos RAT обладает модульной структурой и поддерживает плагины для расширенного шпионажа: перехват скриншотов, запись нажатий клавиш, мониторинг буфера обмена. Это делает его опасным инструментом для кражи конфиденциальной информации.

Помимо Google Translate, злоумышленники создают поддельные инсталляторы других популярных программ - Easy Translation, Youdao Translation, Bit Browser и LetsVPN. Все они предназначены для распространения Winos.

Гибкость Silver Fox делает эту угрозу особенно опасной. Хакеры постоянно совершенствуют методы обхода защиты: используют обфускацию кода, поддельные цифровые подписи и техники обхода песочниц. Более того, подобные инструменты уже применяют APT-группы, такие как Golden Eye Dog, что увеличивает риски для корпоративной и личной кибербезопасности.

Silver Fox - яркий пример того, как хакеры подрывают доверие к привычным сервисам. Их атаки демонстрируют, насколько важна бдительность при загрузке программ и взаимодействии с онлайн-ресурсами.

IPv4

• 185.202.101.114
• 192.252.181.55

IPv4 Port Combinations

• 1.94.163.46:666
• 103.116.246.234:6234
• 154.222.24.214:668
• 154.222.24.214:886
• 154.91.66.58:8088
• 154.91.66.58:8089
• 154.94.232.242:6666
• 154.94.232.242:8888
• 203.160.55.201:1860
• 206.119.167.191:8003
• 206.119.167.191:8004
• 43.250.174.49:1989
• 8.218.115.90:8080
• 8.218.115.90:8081

Domains

• www.ggfanyi.com

SHA256

• 0d171b33d1a22b2e1e2fb1638295c40f67c4ac40d771e732de2c0e01fd6cd79e
• 1ce6518a4f31b1d1b500df7966c0a2e93e7a4b728b402727071d7b2d5b2cf5b6
• 38bdef0bdf05adeefb1d4ba04296c757eb8cdfb9be958e4c0d544764564df177
• 42dd5c61c3490447d0b217eca6c1aad9cd9e636fd3b034138a12596d0b03eced
• 4d0ccef5969d7733fc633570d80dfff8ac2362789572c9df8a0320eede2b3284
• 61f860c3241f13c9e2a290c14a74ad9d0f018fe36f2ed9e260907b7c12ecb393
• b5e0893617a6a1b5e5f3c0c85fa82eaa9c6e66a511ca3974e35d6a466b52642a
• cdd221dfe3d856aae18cd5af30fd771df44441c35383278a1559438c3e708cfd
• cf17ce1d9a3f0151afd129823303aa949f6c7d71692dff5f6c39bcef03c8dadc