Siber güvenlik araştırmacıları, LETSVPN ve QQ tarayıcısı gibi popüler araçlar olarak maskelenen sahte yazılım yükleyicilerini kullanan bir kötü amaçlı yazılım kampanyasını açıkladılar. Winos 4.0 çerçeve.
İlk olarak Şubat 2025’te Rapid7 tarafından tespit edilen kampanya, Catena adlı çok aşamalı, bellekte yerleşik bir yükleyicinin kullanımını içeriyor.
Güvenlik araştırmacıları Anna Širokova ve Ivan Feigl, “Catena, Winos 4.0 gibi tamamen bellekte Winos 4.0 gibi sahne yükleri için gömülü kabuk kodu ve yapılandırma anahtarlama mantığını kullanıyor.” “Kurulduktan sonra, takip talimatları veya ek kötü amaçlı yazılımlar almak için sessizce saldırgan kontrollü sunuculara-çoğunlukla Hong Kong’da barındırılan-bağlanır.”
Geçmişte Winos 4.0’ı konuşlandıranlar gibi saldırılar, özellikle Çince konuşan ortamlara odaklanıyor gibi görünüyor, siber güvenlik şirketi çok yetenekli bir tehdit oyuncusu tarafından “dikkatli, uzun vadeli planlama” olarak adlandırılıyor.
Winos 4.0 (diğer adıyla Vallerat) ilk olarak, VPN uygulamaları için kötü amaçlı Windows yükleyici (MSI) dosyaları aracılığıyla Çince konuşan kullanıcıları hedefleyen saldırılarda kullanılan trend micro tarafından kamuya açıklandı. Etkinlik, Silver Fox olarak da adlandırılan geçersiz Arachne olarak izlediği bir tehdit kümesine atfedildi.
Kötü amaçlı yazılımları dağıtan sonraki kampanyalar, kullanıcıları yüklemeye kandırmak için lures olarak kurulum araçları, hız güçlendiricileri ve optimizasyon yardımcı programları gibi oyunla ilgili uygulamalardan yararlanmıştır. Şubat 2025’te detaylandırılan başka bir saldırı dalgası, Ulusal Vergilendirme Bürosu’ndan olduğu iddia edilen kimlik avı e -postaları aracılığıyla Tayvan’daki varlıkları hedef aldı.
GH0ST RAT adlı bilinen bir uzaktan erişim Truva Access’in temellerinin üzerine inşa edilen Winos 4.0, C ++ ‘da yazılmış, verileri hasat etmek, uzaktan kabuk erişimi sağlamak ve dağıtılmış Reddi (DDOS) saldırılarını başlatmak için eklenti tabanlı bir sistemden yararlanan gelişmiş bir kötü niyetli çerçevedir.
 |
| Şubat 2025’te gözlemlenen QQBrowser bazlı enfeksiyon akışı |
Rapid7, Şubat 2025’te bayraklanan tüm eserlerin, imzalı tuzak uygulamaları ile birlikte bir araya getirilmiş NSIS yükleyicilerine, “.ini” dosyalarına gömülü olan kabuk kodu ve enfekte konakçılarda kalıcılığı gizlice korumak ve tespiti önlemek için yansıtıcı DLL enjeksiyonuna dayandığını söyledi. Tüm enfeksiyon zincirine takma ada verildi.
Araştırmacılar, “Kampanya şimdiye kadar 2025 yılı boyunca aktif oldu ve bazı taktiksel ayarlara sahip tutarlı bir enfeksiyon zinciri gösterdi – yetenekli ve uyarlanabilir bir tehdit oyuncusu için.” Dedi.
Başlangıç noktası, Tencent tarafından geliştirilen krom tabanlı bir web tarayıcısı olan QQ Browser için bir yükleyiciyi taklit eden ve WINOS 4.0’ı Catena’yı kullanarak tasarlayan bir tenceredir. Kötü amaçlı yazılım, TCP bağlantı noktası 18856 ve HTTPS bağlantı noktası 443 üzerinden sabit kodlu komut ve kontrol (C2) altyapısı ile iletişim kurar.
 |
| Letsvpn yükleyicisinden Nisan 2025’te Winos 4.0’a kadar |
Ev sahibinde kalıcılık, ilk uzlaşmadan haftalar sonra yürütülen planlanmış görevlerin kaydedilmesiyle elde edilir. Kötü amaçlı yazılım, sistemdeki Çince dil ayarlarını aramak için açık bir kontrol sunsa da, durum olmasa bile yürütme ile devam eder.
Bu, bitmemiş bir özellik ve kötü amaçlı yazılımın sonraki yinelemelerinde uygulanması beklenen bir şey olduğunu gösterir. Bununla birlikte, Rapid7, Nisan 2025’te sadece Catena infaz zincirinin bazı unsurlarını değiştiren değil, aynı zamanda antivirüs tespitinden kaçınmak için özellikleri de dahil eden bir “taktiksel değişim” belirlediğini söyledi.
Yenilenen saldırı dizisinde, NSIS yükleyicisi kendini LETSVPN için bir kurulum dosyası olarak gizler ve tüm sürücüler için Microsoft Defender istisnaları ekleyen bir PowerShell komutu çalıştırır (C: \ TO Z: \). Daha sonra, Çin satıcısı Qihoo 360 tarafından geliştirilen bir antivirüs ürünü olan 360 Toplam Güvenlik ile ilgili süreçleri çalıştıran ve işlemleri kontrol eden bir yürütülebilir ürün de dahil olmak üzere ek yükler bırakır.
İkili, Verisign tarafından verilen ve Tencent Technology’ye (Shenzhen) ait olduğu iddia edilen süresi dolmuş bir sertifika ile imzalanmıştır. 2018-10-11-2020-02-02 arasında geçerlidir. Yürütülebilir dosyanın birincil sorumluluğu, bir C2 sunucusuna bağlanan bir DLL dosyasını yansıtıcı bir şekilde yüklemektir (“134.122.204[.]11: 18852 “veya” 103.46.185[.]44: 443 “) Winos 4.0’ı indirmek ve yürütmek için.
Araştırmacılar, “Bu kampanya, WINOS 4.0 Stager’ı sessizce bırakmak için truva atlı NSIS montajcılarını kullanarak iyi organize edilmiş, bölgesel odaklı bir kötü amaçlı yazılım işletimi gösteriyor.” Dedi.
Diyerek şöyle devam etti: “Alarmları yükseltmekten kaçınmak için yasal sertifikalarla imzalanan bellek yerleşik yüklerine, yansıtıcı DLL yüklemesine ve tuzak yazılımı üzerine yoğun bir şekilde eğiliyor.