Los usuarios de habla china son el objetivo de las campañas de adicción de Optimización de motores de búsqueda (SEO) que utilizan sitios de software falsos para distribuir malware.
«Los atacantes manipularon las clasificaciones de búsqueda con dominios para la apariencia registrada que imitan de cerca los complementos de SEO y los sitios de software legítimos», dijo Pei Han Liao, investigador de Fortinet Fortiguard Labs. «Al usar lenguaje persuasivo y alternativas de carácter pequeño, engañaron a la víctima para que visitara páginas falsificadas y descargando el malware».
La actividad, descubierta por las compañías de ciberseguridad en agosto de 2025, conduce al despliegue de familias de malware como Hiddengh0st y Winos (también conocido como Valleyrat). Ambas son variaciones del troyano de acceso remoto llamado GH0st Rat.
Vale la pena señalar que el uso de Winos se atribuye a un grupo de delitos cibernéticos conocido como Silver Fox. Esto también se rastrea como una serpiente de natación, el gran ladrón del valle (o ladrón del valle), UTG-Q-1000 y el vacío Arachne. Se cree que es activo desde al menos 2022.
En la última cadena de ataque documentada por Fortinet, los usuarios que buscan herramientas como la traducción DeepL de Google, Google Chrome, Signal, Telegram, WhatsApp, WPS Office y más se redirigirán a sitios falsos para activar la entrega de malware utilizando instaladores troyanizados.
«Un script llamado Nice.js controla el proceso de entrega de malware en estos sitios», explicó Fortinet. «El script sigue una cadena de varios pasos. Primero, llama a un enlace de descarga que devuelve datos JSON que contiene el enlace secundario. Ese enlace secundario apunta a otra respuesta JSON que contiene el enlace que se redirige a la URL final del instalador malicioso».
Las dlls maliciosas («enumw.dll») existen en el instalador. Esto hace que la detección de lado latente para evitar algunas verificaciones antianalíticas, como extraer otra DLL («vstdlib.dll»), mediante el uso de memoria inflado y el rendimiento de la desaceleración.
El segundo DLL está diseñado para desempacar y lanzar la carga útil principal, pero no antes de verificar la presencia de 360 software antivirus de seguridad total en el host comprometido. Si está presente, el malware utiliza una técnica llamada Typelib Com Hisacking para configurar la persistencia y finalmente lanza un ejecutable de Windows («Insalivation.exe»)
Si no se instala ningún software antivirus en el host, la persistencia se logra creando un atajo de Windows que apunta al mismo archivo ejecutable. El objetivo final de la infección es dejar una dll («Aide.dll») que inicia tres funciones centrales –
Comando y control (C2), Establezca datos de comunicación e intercambio con servidores remotos en latidos de formato cifrado, recopilación de datos de sistemas y víctimas, enumere los procesos de ejecución contra listas codificadas de monitores de productos de seguridad, evaluar el entorno de las víctimas, verificar la persistencia, rastrear la actividad del usuario y confirmar Beacons para servidores C2 para los servidores C2 para los servidores C2
El módulo C2 también admite complementos adicionales, teclas de registro, datos de portapapeles e incluso comandos para descargar billeteras de criptomonedas de secuestro relacionadas con Ethereum y Tether. Algunos de los complementos identificados pueden mantener pestañas en la pantalla de la víctima y se han identificado previamente como parte del marco de Winos.
«El instalador contiene aplicaciones legítimas y cargas útiles maliciosas, lo que dificulta que los usuarios noten infecciones», dijo Fortinet. «Incluso los resultados de búsqueda altamente calificados se arman de esta manera, subrayando la importancia de inspeccionar cuidadosamente los nombres de dominio antes de descargar el software».
Altavoces chinos atacados por el nuevo malware que contiene Kkrat trifecta
El desarrollo ha sido marcado con otra campaña por Zscaler AMENAYLABZ, también dirigida a usuarios de habla china, incluido el malware previamente indocumentado llamado Kkrat desde principios de mayo de 2025, Winos y Fatalrat.
Kkrat «comparte la similitud del código con la rata GH0st y el Big Bad Wolf, una rata que generalmente es aprovechada por los cibercriminales con sede en China», dijo Muhammed Irfan VA, investigador de Zscaler.
«KKRAT emplea un protocolo de comunicación de red similar a las ratas fantasmas, con una capa de cifrado adicional agregada después de la compresión de datos. Las funciones de la rata incluyen operaciones de portapapeles que reemplazan las direcciones de criptomonedas y el despliegue de herramientas de monitoreo remoto (es decir, SunLogin, GotoHTTP)».
Similar a la actividad mencionada anteriormente, la campaña de ataque utiliza una página de instalador falso que imita el software popular como Dingtalk para entregar tres caballos troyanos. El sitio de phishing está alojado en las páginas de GitHub, lo que permite a los malos actores abusar de la confianza asociada con las plataformas legales para la distribución de malware. La cuenta GitHub utilizada para implementar la página ya no está disponible.
Una vez lanzado por una víctima, el instalador alojado en el sitio realiza una serie de verificaciones para identificar el entorno Sandbox y las máquinas virtuales (VM) y evitar el software de seguridad. También requiere privilegios de administrador. Esto le permite enumerar todos los adaptadores de red activos, deshabilitarlos temporalmente e interferir efectivamente con la funcionalidad regular de su programa antivirus, si se otorga.
Otro aspecto notable del malware es el uso de la técnica de controlador vulnerable (BYOVD) de Bring para desarmar el software antivirus instalado en el host reutilizando el código del proyecto RealblindingEdr de código abierto. El malware busca específicamente los siguientes cinco programas –
360 Internet Security Suite 360 SEGURIDAD TOTAL HEROBRAVO Sistema Diagnóstico Suite Kingsoft Internet Security QQ
Una vez que se han completado los procesos relacionados con los antivirus asociados, el malware toma medidas para crear tareas programadas que se ejecutan con privilegios del sistema para garantizar que se maten automáticamente cada vez que un usuario inicia sesión en la máquina.
Además, modifica la entrada del registro de Windows para la seguridad total 360, junto con los objetivos que pueden estar dirigidos a deshabilitar las verificaciones de red. Después de que se hayan realizado todas estas acciones, el malware volverá a dirigir a un adaptador de red válido para restaurar la conexión de red del sistema.
La responsabilidad principal del instalador es iniciar el código de shell. El shellcode inicia otro archivo de shellcode ofned llamado «2025.bin» de la URL codificada. Este shellcode recientemente adquirido actúa como un descargador para artefactos («output.log») y luego llega a dos URL diferentes para obtener dos archivos zip.
TRX38.ZIP, que contiene una DLL maliciosa lanzada con DLL Sideload P.Zip que contiene un ejecutable legítimo y un archivo llamado Longlq.cl que contiene una carga útil final cifrada
«El malware crea un atajo para un ejecutable legítimo extraído de TRX38.ZIP, agrega este atajo a la carpeta de inicio para su persistencia, y ejecuta un ejecutable legítimo y acerca la DLL maliciosa», dice Zscaler. «El DLL malicioso descifra y ejecuta la carga útil final del archivo Longlq.cl. La carga útil final de la campaña depende del segundo archivo zip que se descargó».
Cadena de ataque para campañas de malware que proporcionan múltiples ratones
Una de las tres cargas útiles es Kkrat. Después de establecer una conexión de socket con el servidor C2, el malware perfila la máquina víctima y recupera varios complementos para realizar una amplia gama de tareas de recopilación de datos –
Captura y simulación de la captura de entrada del usuario, como las acciones de teclado y el mouse, habilitan las características de escritorio remotas, como iniciar un navegador web o cerrar la interfaz de shell, obtener y modificar los datos del portapapeles fáciles de ejecutar comandos remotos a través de la interfaz de shell a través de procesos activos. Desinstale uno específico que enumera y recupera una lista de valores almacenados en la clave de registro Autorun que actúa como un proxy para enrutar datos entre clientes y servidores utilizando el protocolo SOCKS5
Además de estos complementos, Kkrat admite una larga lista de comandos para invocar complementos. Actúa como un clipper intercambiando direcciones de billetera de criptomonedas copiadas en el portapapeles. Establece persistencia. Expandir GOTOHTTP y SunLogin. Datos claros asociados con el navegador de velocidad 360, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer, Skye y Telegram.
«Los comandos y complementos de KKRAT habilitan características como el secuestro de portapapeles para reemplazar las direcciones de la billetera de criptomonedas, instalar herramientas RMM como SunLogin y GOTOHTTP, y el tráfico de red de retransmisión que se puede usar para evitar los firewalls y VPN», dijo Zscaler.
Source link
