黑客利用VPN和浏览器安装程序投递 Winos 4.0 恶意软件

admin 2025年5月27日09:29:29评论78 views字数 1669阅读5分33秒阅读模式
黑客利用VPN和浏览器安装程序投递 Winos 4.0 恶意软件

关键词

网络攻击

黑客利用VPN和浏览器安装程序投递 Winos 4.0 恶意软件

网络安全研究人员披露了一项新型攻击活动,该活动通过伪造的安装程序冒充热门应用(如 LetsVPN 和 QQ 浏览器)传播名为 Winos 4.0 的恶意框架。

攻击活动最早由 Rapid7 于 2025 年 2 月发现,其核心是一个名为 Catena 的多阶段、内存常驻型加载器。

安全研究人员 Anna Širokova 和 Ivan Feigl 表示:“Catena 使用嵌入的 shellcode 及配置切换逻辑,在内存中加载类似 Winos 4.0 的有效负载,从而绕过传统杀毒工具的检测。一旦成功安装,它会悄悄连接到攻击者控制的服务器(多数位于香港),以接收后续指令或进一步的恶意软件。”

与以往部署 Winos 4.0 的攻击一样,这次行动显然仍集中针对中文使用环境。安全公司指出,攻击者展现出“细致而长期的筹划”,具备较高的技术水平。

Winos 4.0(又名 ValleyRAT)最早由趋势科技于 2024 年 6 月公开披露,攻击对象主要为中文用户,采用恶意 Windows 安装文件(MSI)伪装为 VPN 应用进行传播。该攻击活动被归类于一个被称为 Void Arachne(又称 Silver Fox)的攻击组织。

后续的攻击行动中,攻击者也曾利用与游戏相关的应用程序(如安装工具、提速软件和优化工具)诱导用户中招。2025 年 2 月,一波新的攻击针对台湾机构,钓鱼邮件伪装成国家税务机关发送。

Winos 4.0 基于已知的远程访问木马 Gh0st RAT 构建,是一套用 C++ 编写的高级恶意软件框架,采用插件式架构,能够采集信息、提供远程 shell 访问功能,并发起分布式拒绝服务(DDoS)攻击。Rapid7 表示,2025 年 2 月发现的所有恶意样本都使用 NSIS 安装包,并捆绑有签名的诱饵程序、嵌入 .ini 文件的 shellcode 以及反射式 DLL 注入技术,从而在受害系统上维持隐蔽持久性并规避检测。整条感染链被命名为 Catena。

研究人员指出,该攻击活动贯穿整个 2025 年,其感染链保持一致,仅在战术上有所调整,显示出攻击者的成熟性和适应能力。

攻击链的起点是一份被篡改的 NSIS 安装包,它伪装成腾讯开发的 Chromium 内核浏览器 QQ 浏览器的安装程序,通过 Catena 投递 Winos 4.0。该恶意软件通过硬编码的 C2 基础设施通信,使用 TCP 端口 18856 和 HTTPS 端口 443。为实现持久驻留,它会注册计划任务,在初次感染数周后才开始执行。尽管其代码中包含检查系统语言是否为中文的逻辑,即使不是中文环境,它也会继续执行,这表明该功能尚未完善,可能在后续版本中正式启用。

Rapid7 在 2025 年 4 月还识别出一项“策略性转变”,不仅调整了 Catena 的执行链,还加入了规避杀毒软件的新功能。在这版攻击序列中,NSIS 安装包伪装为 LetsVPN 的安装程序,运行一段 PowerShell 命令,将 Microsoft Defender 的所有盘符(C: 至 Z:)加入排除列表。随后它会释放更多有效负载,包括一个可执行文件,该文件会抓取系统中正在运行的进程快照,并检查是否存在与奇虎 360 开发的“360 安全卫士”相关的进程。

该二进制文件使用的是一份已过期的 VeriSign 证书签名,名义上属于“腾讯科技(深圳)有限公司”,证书有效期为 2018 年 10 月 11 日至 2020 年 2 月 2 日。它的主要功能是反射式加载一个 DLL 文件,而该 DLL 文件会连接至 C2 服务器

(如“134.122.204[.]11:18852”或“103.46.185[.]44:443”),用于下载并执行 Winos 4.0。

研究人员表示:“此次行动展现了一场有组织、区域聚焦的恶意软件作业,利用被植入木马的 NSIS 安装程序悄然投放 Winos 4.0 初始载荷。”

“它高度依赖内存中的有效负载、反射式 DLL 加载,以及签名诱饵程序以躲避检测。攻击基础设施之间存在重叠,语言偏向的目标策略也暗示了其与 Silver Fox APT 的联系,其攻击目标很可能仍是中文使用环境。”

  END  

原文始发于微信公众号(安全圈):【安全圈】黑客利用VPN和浏览器安装程序投递 Winos 4.0 恶意软件

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月27日09:29:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客利用VPN和浏览器安装程序投递 Winos 4.0 恶意软件https://cn-sec.com/archives/4101537.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息