Вредонос Winos 4.0 маскируется под LetsVPN и QQ Browser

Вредонос Winos 4.0 маскируется под LetsVPN и QQ Browser

Вредонос Winos 4.0 маскируется под LetsVPN и QQ Browser

Очередная вредоносная кампания, нацеленная на пользователей, отличается участием поддельных установщиков популярных приложений вроде LetsVPN и QQ Browser. Под капотом — не кто иной, как Winos 4.0 (он же ValleyRAT), теперь доставляемый через сложную загрузочную цепочку под названием Catena.

Исследователи из Rapid7 описывают Catena как многоступенчатый, полностью бесфайловый загрузчик, работающий из памяти.

Он использует шелл-код, настройки переключения конфигураций, чтобы незаметно загрузить Winos 4.0. То есть антивирусы могут даже не заметить, что что-то пошло не так.

Сразу после установки вредоносный код выходит на связь с серверами управления, большинство из которых, по словам исследователей, размещено в Гонконге. Дальше всё просто: ждёт команд или догружает дополнительный софт.

Сам Winos 4.0 — это не просто RAT, а целый плагинный фреймворк на базе старого-доброго Gh0st RAT. Он умеет вытаскивать данные, открывать удалённый доступ к системе, а заодно и проводить DDoS-атаки. И всё это — в рамках одной кампании, прикидывающейся обычной установкой VPN или браузера.

Особый интерес вызывает то, как именно злоумышленники обходят защиту. Например, в версии атаки через LetsVPN (зафиксирована в апреле 2025 года), поддельный установщик добавляет PowerShell-скриптом исключения в Microsoft Defender — сразу на все диски.

Потом сбрасывает полезную нагрузку, которая проверяет, не работает ли на системе антивирус от Qihoo 360, и только после этого загружает Winos 4.0. Всё это — под видом исполняемого файла с просроченным, но настоящим сертификатом от Tencent.

 

Для маскировки используется NSIS — это легальный установщик, часто применяемый в софте. Вредонос встраивается прямо внутрь: и декой-приложение, и шелл-код, и DLL — всё на месте. Даже .ini-файлы здесь играют роль. При этом в некоторых случаях зловред регистрирует отложенные задачи, которые срабатывают не сразу, а через пару недель после заражения.

Интересно, что в коде есть явная проверка на китайский язык интерфейса Windows. Но даже если его нет, зловред всё равно продолжает выполняться. Видимо, авторы просто не успели доделать проверку — но задумка есть.

Всё это укладывается в почерк известной группы «Silver Fox» (она же «Void Arachne»). Именно они стояли за ранними версиями атак с участием Winos 4.0. Теперь их подход стал ещё изощрённее — тихая доставка, минимум следов, адаптация под защиту и региональную специфику.

Кампания активно развивается в течение всего 2025 года и, судя по всему, останавливаться не собирается. Так что если вы случайно скачали «установщик QQ Browser» не с официального сайта — проверьте, не слишком ли тихо ведёт себя ваш компьютер.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Российские компании ускорили переход на российские мессенджеры

Как показало исследование сервиса Calltouch, каждая пятая российская компания планирует перейти на отечественные мессенджеры. Главным мотивом стало желание оставаться на связи несмотря на ограничения в работе зарубежных сервисов.

Данные исследования оказались в распоряжении «Известий». Издание отмечает, что еще месяц назад ситуация была иной: бизнес, следуя за клиентами, чаще выбирал зарубежные продукты. Сейчас компании преимущественно обращают внимание на такие решения, как MAX, «VK Мессенджер» и «Яндекс Мессенджер».

Поворотным моментом стало ограничение голосовых вызовов в WhatsApp (принадлежит Meta, признана экстремистской и запрещена в РФ) и Telegram. Исследование Calltouch показало, что ответом бизнеса на эти изменения стала диверсификация каналов коммуникации — переход на новые мессенджеры и усиление активности в соцсетях. По-прежнему востребованы и традиционные способы связи: электронная почта, корпоративные сайты и телефонные звонки.

Реакция компаний на ограничения оказалась неоднозначной. Более 41% участников опроса сообщили, что не столкнулись с серьёзными проблемами, однако 23% признались, что им пришлось использовать множество каналов связи или что клиенты неохотно переходили на новые платформы.

Генеральный директор Calltouch Артур Саркисян рекомендовал бизнесу развивать дополнительные каналы коммуникации наряду с привычными. По его словам, компаниям стоит запускать дублирующие каналы для рассылок, уведомлений и техподдержки через социальные сети, а также внедрять CRM-системы и инструменты аналитики для автоматизации работы с множеством каналов связи.

«Российские мессенджеры долгое время находились в тени зарубежных гигантов. Их использование бизнесом было точечным, а доля отечественных решений в деловой коммуникации оставалась минимальной», — отметила ведущий научный сотрудник Лаборатории искусственного интеллекта, нейротехнологий и бизнес-аналитики РЭУ им. Г. В. Плеханова Марина Холод.

Экономист Андрей Бархота добавил, что российские мессенджеры ранее были непопулярны и в корпоративной среде, поскольку многие востребованные функции появлялись в них позднее и нередко в урезанном виде. По мнению экспертов, отечественные решения всё ещё страдают от «детских болезней», мешающих их массовому внедрению.

Аналитик ФГ «Финам» Леонид Делицын считает, что переход на российские решения будет ускоряться по мере роста их клиентской базы. «Если руководство использует определённый мессенджер для рабочих задач, сотрудники неизбежно адаптируются к нему», — отметил эксперт.

«Российские мессенджеры, такие как “VK Мессенджер” и MAX, получили мощный импульс для развития. Сейчас они активно развивают бизнес-функционал — интеграцию с CRM, корпоративные каналы, чат-ботов и инструменты поддержки клиентов. Возникает сетевой эффект: чем больше компаний переходят на эти платформы, тем выше их ценность для остальных участников рынка», — подчеркнула Марина Холод.

Ведущий научный сотрудник Центра технологий госуправления РАНХиГС Алексей Ефремов отметил, что важным фактором успеха отечественных мессенджеров станет их выход на рынки дружественных стран. Начать этот процесс, по его мнению, можно с представительств российских компаний за рубежом. Однако главным условием остаётся обеспечение высокого уровня функциональности и безопасности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru