Вредонос Winos 4.0 маскируется под LetsVPN и QQ Browser

Вредонос Winos 4.0 маскируется под LetsVPN и QQ Browser

Вредонос Winos 4.0 маскируется под LetsVPN и QQ Browser

Очередная вредоносная кампания, нацеленная на пользователей, отличается участием поддельных установщиков популярных приложений вроде LetsVPN и QQ Browser. Под капотом — не кто иной, как Winos 4.0 (он же ValleyRAT), теперь доставляемый через сложную загрузочную цепочку под названием Catena.

Исследователи из Rapid7 описывают Catena как многоступенчатый, полностью бесфайловый загрузчик, работающий из памяти.

Он использует шелл-код, настройки переключения конфигураций, чтобы незаметно загрузить Winos 4.0. То есть антивирусы могут даже не заметить, что что-то пошло не так.

Сразу после установки вредоносный код выходит на связь с серверами управления, большинство из которых, по словам исследователей, размещено в Гонконге. Дальше всё просто: ждёт команд или догружает дополнительный софт.

Сам Winos 4.0 — это не просто RAT, а целый плагинный фреймворк на базе старого-доброго Gh0st RAT. Он умеет вытаскивать данные, открывать удалённый доступ к системе, а заодно и проводить DDoS-атаки. И всё это — в рамках одной кампании, прикидывающейся обычной установкой VPN или браузера.

Особый интерес вызывает то, как именно злоумышленники обходят защиту. Например, в версии атаки через LetsVPN (зафиксирована в апреле 2025 года), поддельный установщик добавляет PowerShell-скриптом исключения в Microsoft Defender — сразу на все диски.

Потом сбрасывает полезную нагрузку, которая проверяет, не работает ли на системе антивирус от Qihoo 360, и только после этого загружает Winos 4.0. Всё это — под видом исполняемого файла с просроченным, но настоящим сертификатом от Tencent.

 

Для маскировки используется NSIS — это легальный установщик, часто применяемый в софте. Вредонос встраивается прямо внутрь: и декой-приложение, и шелл-код, и DLL — всё на месте. Даже .ini-файлы здесь играют роль. При этом в некоторых случаях зловред регистрирует отложенные задачи, которые срабатывают не сразу, а через пару недель после заражения.

Интересно, что в коде есть явная проверка на китайский язык интерфейса Windows. Но даже если его нет, зловред всё равно продолжает выполняться. Видимо, авторы просто не успели доделать проверку — но задумка есть.

Всё это укладывается в почерк известной группы «Silver Fox» (она же «Void Arachne»). Именно они стояли за ранними версиями атак с участием Winos 4.0. Теперь их подход стал ещё изощрённее — тихая доставка, минимум следов, адаптация под защиту и региональную специфику.

Кампания активно развивается в течение всего 2025 года и, судя по всему, останавливаться не собирается. Так что если вы случайно скачали «установщик QQ Browser» не с официального сайта — проверьте, не слишком ли тихо ведёт себя ваш компьютер.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Число фишинговых инцидентов в доменах .RU/.РФ снизилось на 40%

С начала 2025 года Координационный центр доменов .RU/.РФ получил 13 850 обращений, связанных с фишингом. Это на 1,6 раза меньше по сравнению с аналогичным периодом 2024 года, когда поступило 23 274 обращения. До этого количество подобных сообщений стабильно росло.

Максимальный — четырёхкратный — рост числа обращений по поводу фишинга был зафиксирован в первом полугодии 2023 года. Также снизилась доля фишинга среди всех инцидентов: если в 2024 году на него приходилось 89% обращений, то в 2025 году — уже 64%.

С начала года участники проекта «Доменный патруль» заблокировали более 13,5 тыс. фишинговых доменов. Для сравнения, за первое полугодие 2024 года было заблокировано 22,6 тыс. доменов. Среднее время реагирования составило 15 часов — это один из лучших показателей по скорости блокировки в мире.

По мнению директора Координационного центра Андрея Воробьёва, снижение активности фишинга связано с тем, что злоумышленники всё чаще переходят к более сложным схемам, основанным на использовании вредоносных программ:

«О фишинге сегодня знает практически каждый пользователь, и многие научились его распознавать. А вредоносы действуют гораздо скрытнее. Они могут попасть на устройство через заражённые приложения, файлы или ссылки — и при этом не вызвать подозрений. Получив доступ, злоумышленники используют устройство для новых атак или кражи личных и финансовых данных. Эти схемы менее заметны и потому более опасны».

Также, как отметил Андрей Воробьёв, важную роль сыграла скоординированная работа участников «Доменного патруля». Благодаря высокой скорости реакции киберпреступникам приходится переносить активность в другие доменные зоны, где контроль менее жёсткий.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru