Experti v oblasti kybernetické bezpečnosti odhalili kampaň, která využívá falešné instalátory softwaru vydávající se za populární nástroje jako LetsVPN a QQ Browser k šíření frameworku Winos 4.0.
Kampaň, kterou společnost Rapid7 poprvé zaznamenala v únoru 2025, využívá vícefázový, v paměti rezidentní loader s názvem Catena.
„Catena používá vložený shellcode a logiku pro přepínání konfigurací k načítání payloadů, jako je Winos 4.0, zcela v paměti, čímž obchází tradiční antivirové nástroje,“ uvedli bezpečnostní experti Anna Širokova a Ivan Feigl. „Po instalaci se tiše připojuje k serverům ovládaným útočníky – většinou hostovaným v Hongkongu – aby přijímal další instrukce nebo další malware.“
Útoky, podobně jako ty, které v minulosti šířily Winos 4.0, se zaměřují především na čínsky mluvící prostředí. Bezpečnostní společnost upozorňuje na „pečlivé, dlouhodobé plánování“ velmi schopného útočníka.
Winos 4.0 (známý také jako ValleyRAT) byl poprvé veřejně popsán společností Trend Micro v červnu 2024 jako nástroj používaný při útocích na čínsky mluvící uživatele prostřednictvím škodlivých instalačních souborů Windows Installer (MSI) pro VPN aplikace. Aktivita byla připsána skupině sledované pod názvem Void Arachne, známé také jako Silver Fox.
Následné kampaně šířící tento malware využívaly aplikace související s hraním her, jako jsou instalační nástroje, zrychlovače a optimalizační utility, aby uživatele nalákaly k instalaci. Další vlna útoků, popsaná v únoru 2025, cílila na subjekty na Tchaj-wanu prostřednictvím phishingových e-mailů, které se vydávaly za zprávy od Národního daňového úřadu.
Winos 4.0 je postaven na základech známého trojského koně pro vzdálený přístup Gh0st RAT. Jedná se o pokročilý škodlivý framework napsaný v C++, který využívá systém pluginů ke sběru dat, poskytování vzdáleného shell přístupu a spouštění DDoS útoků.
Zdroj: The Hacker News
Zdroj: IT SECURITY NETWORK NEWS
