Вредонос Winos 4.0 маскируется под LetsVPN и QQ Browser

Екатерина Быстрова 26 Мая 2025 - 09:25

...

Вредонос Winos 4.0 маскируется под LetsVPN и QQ Browser

Очередная вредоносная кампания, нацеленная на пользователей, отличается участием поддельных установщиков популярных приложений вроде LetsVPN и QQ Browser. Под капотом — не кто иной, как Winos 4.0 (он же ValleyRAT), теперь доставляемый через сложную загрузочную цепочку под названием Catena.

Исследователи из Rapid7 описывают Catena как многоступенчатый, полностью бесфайловый загрузчик, работающий из памяти.

Он использует шелл-код, настройки переключения конфигураций, чтобы незаметно загрузить Winos 4.0. То есть антивирусы могут даже не заметить, что что-то пошло не так.

Сразу после установки вредоносный код выходит на связь с серверами управления, большинство из которых, по словам исследователей, размещено в Гонконге. Дальше всё просто: ждёт команд или догружает дополнительный софт.

Сам Winos 4.0 — это не просто RAT, а целый плагинный фреймворк на базе старого-доброго Gh0st RAT. Он умеет вытаскивать данные, открывать удалённый доступ к системе, а заодно и проводить DDoS-атаки. И всё это — в рамках одной кампании, прикидывающейся обычной установкой VPN или браузера.

Особый интерес вызывает то, как именно злоумышленники обходят защиту. Например, в версии атаки через LetsVPN (зафиксирована в апреле 2025 года), поддельный установщик добавляет PowerShell-скриптом исключения в Microsoft Defender — сразу на все диски.

Потом сбрасывает полезную нагрузку, которая проверяет, не работает ли на системе антивирус от Qihoo 360, и только после этого загружает Winos 4.0. Всё это — под видом исполняемого файла с просроченным, но настоящим сертификатом от Tencent.

Для маскировки используется NSIS — это легальный установщик, часто применяемый в софте. Вредонос встраивается прямо внутрь: и декой-приложение, и шелл-код, и DLL — всё на месте. Даже .ini-файлы здесь играют роль. При этом в некоторых случаях зловред регистрирует отложенные задачи, которые срабатывают не сразу, а через пару недель после заражения.

Интересно, что в коде есть явная проверка на китайский язык интерфейса Windows. Но даже если его нет, зловред всё равно продолжает выполняться. Видимо, авторы просто не успели доделать проверку — но задумка есть.

Всё это укладывается в почерк известной группы «Silver Fox» (она же «Void Arachne»). Именно они стояли за ранними версиями атак с участием Winos 4.0. Теперь их подход стал ещё изощрённее — тихая доставка, минимум следов, адаптация под защиту и региональную специфику.

Кампания активно развивается в течение всего 2025 года и, судя по всему, останавливаться не собирается. Так что если вы случайно скачали «установщик QQ Browser» не с официального сайта — проверьте, не слишком ли тихо ведёт себя ваш компьютер.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 29 Мая 2025 - 14:09

Мошенничество Онлайн-мошенничество Кибербуллинг Домашние пользователи InfoWatch

Цифровые угрозы для детей меняются — теперь это не просто 18+, а вербовка

За последние годы набор цифровых угроз для детей и подростков заметно изменился. Если раньше речь шла о нежелательном контенте и опасных сообществах, то теперь на первый план выходит реальная угроза — вовлечение подростков в противоправные действия, включая терроризм.

Об этом рассказали эксперты ГК InfoWatch на пресс-конференции в ТАСС, посвящённой психологическим аспектам цифровой безопасности.

По словам специалистов, ещё десять лет назад главной угрозой были так называемые грумеры — взрослые, которые втирались в доверие к ребёнку в чатах. Потом появились деструктивные сообщества, фейковые личности, шантаж, кибербуллинг и опасные челленджи. А теперь — новая волна. Подростков втягивают в диверсии, поджоги и даже нападения.

За 2024 год, например, только за диверсии на железной дороге было задержано 134 человека. Из них 50 — несовершеннолетние. Все они получали инструкции через мессенджеры. Были случаи с поджогами вышек, магазинов, нападениями на школы. Это уже не просто шалости — это работа, направленная на разрушение, в том числе организованная.

Почему подростки подвержены

Молодые люди по природе склонны к протесту, стремятся выделиться, быть частью группы. Этим и пользуются злоумышленники. Их месседж прост: «Ты можешь быть героем, прояви себя, сделай что-то креативное». Особенно активно это распространяется через Telegram — боты, каналы, «кураторы».

Ещё одна уязвимость — доверие. У подростков младшего возраста доверие к обществу выше, но после 18–19 лет оно резко падает. И если у человека нет опоры в семье или сообществе, он может легко оказаться втянут в протестные или деструктивные действия.

Что с этим делать

Эксперты сходятся в одном: самое важное — это родители. Не фильтры, не запреты, а живой контакт. Когда родители «подсаживают» ребёнка на гаджеты, потому что некогда — они сами дают зелёный свет рискам. Никакой фильтр не заменит живого общения.

Выход — в организации: спортивные секции, кружки, совместное время. Хорошо, когда взрослые объединяются: один, например, водит в секцию не только своего ребёнка, но и друзей. Это и есть реальная профилактика.

При этом контроль тоже важен. Если у ребёнка есть смартфон — там должны быть хотя бы базовые настройки безопасности и приложения родительского контроля. Но это не должно быть в виде тотального давления — только в сочетании с диалогом и объяснением. Дети должны понимать, почему нельзя выкладывать о себе всё в соцсети, общаться с незнакомыми людьми или вступать в подозрительные группы.

И, конечно, нужно говорить с детьми. Просто, понятно и искренне. Только так можно успеть предупредить ошибку, которую потом уже не исправить.