Вредонос Winos 4.0 маскируется под LetsVPN и QQ Browser

Екатерина Быстрова 26 Мая 2025 - 09:25

...

Вредонос Winos 4.0 маскируется под LetsVPN и QQ Browser

Очередная вредоносная кампания, нацеленная на пользователей, отличается участием поддельных установщиков популярных приложений вроде LetsVPN и QQ Browser. Под капотом — не кто иной, как Winos 4.0 (он же ValleyRAT), теперь доставляемый через сложную загрузочную цепочку под названием Catena.

Исследователи из Rapid7 описывают Catena как многоступенчатый, полностью бесфайловый загрузчик, работающий из памяти.

Он использует шелл-код, настройки переключения конфигураций, чтобы незаметно загрузить Winos 4.0. То есть антивирусы могут даже не заметить, что что-то пошло не так.

Сразу после установки вредоносный код выходит на связь с серверами управления, большинство из которых, по словам исследователей, размещено в Гонконге. Дальше всё просто: ждёт команд или догружает дополнительный софт.

Сам Winos 4.0 — это не просто RAT, а целый плагинный фреймворк на базе старого-доброго Gh0st RAT. Он умеет вытаскивать данные, открывать удалённый доступ к системе, а заодно и проводить DDoS-атаки. И всё это — в рамках одной кампании, прикидывающейся обычной установкой VPN или браузера.

Особый интерес вызывает то, как именно злоумышленники обходят защиту. Например, в версии атаки через LetsVPN (зафиксирована в апреле 2025 года), поддельный установщик добавляет PowerShell-скриптом исключения в Microsoft Defender — сразу на все диски.

Потом сбрасывает полезную нагрузку, которая проверяет, не работает ли на системе антивирус от Qihoo 360, и только после этого загружает Winos 4.0. Всё это — под видом исполняемого файла с просроченным, но настоящим сертификатом от Tencent.

Для маскировки используется NSIS — это легальный установщик, часто применяемый в софте. Вредонос встраивается прямо внутрь: и декой-приложение, и шелл-код, и DLL — всё на месте. Даже .ini-файлы здесь играют роль. При этом в некоторых случаях зловред регистрирует отложенные задачи, которые срабатывают не сразу, а через пару недель после заражения.

Интересно, что в коде есть явная проверка на китайский язык интерфейса Windows. Но даже если его нет, зловред всё равно продолжает выполняться. Видимо, авторы просто не успели доделать проверку — но задумка есть.

Всё это укладывается в почерк известной группы «Silver Fox» (она же «Void Arachne»). Именно они стояли за ранними версиями атак с участием Winos 4.0. Теперь их подход стал ещё изощрённее — тихая доставка, минимум следов, адаптация под защиту и региональную специфику.

Кампания активно развивается в течение всего 2025 года и, судя по всему, останавливаться не собирается. Так что если вы случайно скачали «установщик QQ Browser» не с официального сайта — проверьте, не слишком ли тихо ведёт себя ваш компьютер.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 09 Октября 2025 - 09:32

Кибершпионаж Целевые атаки Таргетированные атаки Утечки информации Умышленные утечки информации Кража данных Корпорации Государство Positive Technologies

Массовые атаки стали сложнее, а их последствия – серьезнее

На конференции Positive Security Day руководитель направления аналитических исследований Positive Technologies Ирина Зиновкина рассказала о новых тенденциях в сфере массовых кибератак. По её словам, такие атаки не ограничиваются конкретной страной или отраслью.

Одной из их ключевых особенностей остаются низкие затраты на организацию. Однако простыми эти атаки назвать нельзя: злоумышленники всё чаще используют средства автоматизации, включая технологии искусственного интеллекта, и эта тенденция продолжит усиливаться.

В целом на массовые атаки приходится около 20% всех успешных инцидентов. Чаще всего киберпреступники эксплуатируют простые уязвимости в широко распространённом программном обеспечении. Нередко точкой входа становятся уязвимые веб-приложения.

Наиболее распространённые методы атак:

вредоносные программы — 56%;
эксплуатация уязвимостей — 47%;
социальная инженерия — 39%;
использование скомпрометированных учётных записей — 18%;
применение легального ПО (средства шифрования, удалённого доступа) — 5%;
компрометация цепочек поставок — 2%.

Среди классов вредоносных программ лидируют троянцы удалённого управления (34%), шпионские программы (22%), майнеры (19%) и шифровальщики (14%). При этом троянцы постепенно вытесняют классические шпионские решения. Шифровальщики в массовых атаках применяются относительно редко — их использование слишком сложно и дорого для организаторов подобных кампаний.

От массовых атак страдают не только конечные пользователи и малый бизнес, но и крупные компании, а также государственные структуры. Как отметила Ирина Зиновкина, в промышленности это связано с целым рядом факторов.

Активная цифровизация часто сопровождается применением незрелых технологий и решений, а также острой нехваткой квалифицированных специалистов по информационной безопасности — как по количеству, так и по уровню подготовки. Кроме того, промышленные предприятия нередко становятся объектами атак политически мотивированных активистов.

Атаки на государственные учреждения также нередко носят политически мотивированный характер. С технической точки зрения злоумышленникам помогает высокая доля устаревшего программного обеспечения, используемого в госсекторе.

Наиболее частые последствия массовых атак:

утечки данных (в более чем трети случаев — учётных данных) — 40%;
дальнейшее распространение атак (DDoS, фишинг) — 26%;
нарушение основной деятельности организаций — 24%;
ущерб интересам государства — 8%;
прямой финансовый ущерб — 6%.

При этом, как подчеркнула Ирина Зиновкина, практически все атаки так или иначе направлены на получение выгоды. В среднем доход их организаторов примерно в пять раз превышает понесённые затраты.

Вредонос Winos 4.0 маскируется под LetsVPN и QQ Browser

Читайте также