Вредонос Winos 4.0 маскируется под LetsVPN и QQ Browser

Екатерина Быстрова 26 Мая 2025 - 09:25

...

Вредонос Winos 4.0 маскируется под LetsVPN и QQ Browser

Очередная вредоносная кампания, нацеленная на пользователей, отличается участием поддельных установщиков популярных приложений вроде LetsVPN и QQ Browser. Под капотом — не кто иной, как Winos 4.0 (он же ValleyRAT), теперь доставляемый через сложную загрузочную цепочку под названием Catena.

Исследователи из Rapid7 описывают Catena как многоступенчатый, полностью бесфайловый загрузчик, работающий из памяти.

Он использует шелл-код, настройки переключения конфигураций, чтобы незаметно загрузить Winos 4.0. То есть антивирусы могут даже не заметить, что что-то пошло не так.

Сразу после установки вредоносный код выходит на связь с серверами управления, большинство из которых, по словам исследователей, размещено в Гонконге. Дальше всё просто: ждёт команд или догружает дополнительный софт.

Сам Winos 4.0 — это не просто RAT, а целый плагинный фреймворк на базе старого-доброго Gh0st RAT. Он умеет вытаскивать данные, открывать удалённый доступ к системе, а заодно и проводить DDoS-атаки. И всё это — в рамках одной кампании, прикидывающейся обычной установкой VPN или браузера.

Особый интерес вызывает то, как именно злоумышленники обходят защиту. Например, в версии атаки через LetsVPN (зафиксирована в апреле 2025 года), поддельный установщик добавляет PowerShell-скриптом исключения в Microsoft Defender — сразу на все диски.

Потом сбрасывает полезную нагрузку, которая проверяет, не работает ли на системе антивирус от Qihoo 360, и только после этого загружает Winos 4.0. Всё это — под видом исполняемого файла с просроченным, но настоящим сертификатом от Tencent.

Для маскировки используется NSIS — это легальный установщик, часто применяемый в софте. Вредонос встраивается прямо внутрь: и декой-приложение, и шелл-код, и DLL — всё на месте. Даже .ini-файлы здесь играют роль. При этом в некоторых случаях зловред регистрирует отложенные задачи, которые срабатывают не сразу, а через пару недель после заражения.

Интересно, что в коде есть явная проверка на китайский язык интерфейса Windows. Но даже если его нет, зловред всё равно продолжает выполняться. Видимо, авторы просто не успели доделать проверку — но задумка есть.

Всё это укладывается в почерк известной группы «Silver Fox» (она же «Void Arachne»). Именно они стояли за ранними версиями атак с участием Winos 4.0. Теперь их подход стал ещё изощрённее — тихая доставка, минимум следов, адаптация под защиту и региональную специфику.

Кампания активно развивается в течение всего 2025 года и, судя по всему, останавливаться не собирается. Так что если вы случайно скачали «установщик QQ Browser» не с официального сайта — проверьте, не слишком ли тихо ведёт себя ваш компьютер.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 06 Октября 2025 - 13:52

Домашние пользователи Корпорации Системы защиты от несанкционированного доступа Средства криптографической защиты информации Постквантовая криптография

Signal внедрил постквантовую систему шифрования SPQR для защиты чатов

Мессенджер Signal представил новый криптографический механизм под названием Sparse Post-Quantum Ratchet (SPQR) — он создан, чтобы защитить переписку пользователей от угроз, связанных с появлением квантовых вычислений.

SPQR будет работать как дополнительный уровень шифрования, постоянно обновляя ключи защиты сообщений и удаляя старые, что гарантирует высокий уровень конфиденциальности.

Даже если один из ключей каким-то образом окажется скомпрометирован, будущие сообщения останутся недоступными для злоумышленников.

Signal уже использует систему Double Ratchet, которая обеспечивает сквозное шифрование. Теперь к ней добавляется SPQR, формируя так называемый Triple Ratchet — ещё более устойчивый ко взлому механизм.

В основе SPQR лежат постквантовые криптографические алгоритмы, использующие Key-Encapsulation Mechanisms (ML-KEM) вместо традиционного эллиптического шифрования Diffie-Hellman. При этом система реализует специальные методы оптимизации, чтобы большие ключи не перегружали сеть.

Команда Signal поясняет:

«Когда вы отправляете сообщение, и Double Ratchet, и SPQR предлагают свои ключи шифрования. Затем оба ключа проходят через специальную функцию, которая создаёт единый “смешанный” ключ с гибридной защитой».

SPQR был создан при участии исследователей из PQShield, Японского института AIST и Нью-Йоркского университета. Концепция базируется на научных работах, представленных на конференциях USENIX 2025 и Eurocrypt 2025.

Новая система прошла формальную проверку безопасности с помощью ProVerif, а её реализация на Rust протестирована инструментом hax. Кроме того, Signal внедряет постоянную систему верификации — теперь доказательства безопасности будут обновляться при каждом изменении кода.

Переход на новую технологию будет происходить постепенно — пользователям не нужно ничего делать, кроме как обновлять приложение до последней версии.

SPQR будет обратимо совместимым: если пользователь с новой версией переписывается с тем, у кого SPQR пока нет, система автоматически перейдёт на прежнюю модель шифрования. Когда обновление станет доступно всем, Signal включит SPQR по умолчанию.

Напомним, в сентября Signal запустил зашифрованные резервные копии чатов с опцией подписки. Они позволяют восстанавливать переписку даже в случае потери или поломки телефона.

Недавно мы также анализировали какой мессенджер лучше защищает ваши данные — Signal или Telegram.