Специалисты обнаружили новую вредоносную кампанию Silver Fox (она же Void Arachne), в которой используются фиктивные сайты. Ресурсы якобы распространяют популярное ПО (WPS Office, Sogou и DeepSeek), но на самом деле используются для доставки Sainbox RAT и опенсорсного руткита Hidden.

По данным Netskope Threat Labs, фишинговые сайты (например, wpsice[.]com) распространяют вредоносные инсталляторы MSI на китайском языке, то есть целью этой кампании являются носители китайского языка.

«Полезная нагрузка вредоносного ПО включает в себя Sainbox RAT, вариант Gh0st RAT и вариант опенсорсного руткита Hidden с открытым исходным кодом», — говорят исследователи.

Это не первый случай, когда Silver Fox прибегает к подобной тактике. К примеру, летом 2024 года специалисты компании eSentire описывали кампанию, направленную на китайских пользователей Windows, которая осуществлялась с помощью сайтов, якобы предназначенных для загрузки Google Chrome и распространявших Gh0st RAT.

Кроме того, в феврале 2025 года аналитики Morphisec обнаружили другую кампанию с поддельными сайтами, в рамках которой распространялись ValleyRAT (он же Winos 4.0) и другая версия Gh0st RAT.

Как сообщают в Netskope, на этот раз вредоносные MSI-инсталляторы, загруженные с фальшивых сайтов, предназначаются для запуска легитимного исполняемого файла shine.exe, который загружает вредоносную DLL libcef.dll, используя технику side-loading.

Основной задачей этой DLL является извлечение и запуск шеллкода из текстового файла 1.txt, присутствующего в инсталляторе, что в конечном итоге приводит к выполнению другой полезной нагрузки DLL — трояна удаленного доступа Sainbox.

«В разделе .data изученной полезной нагрузки содержится еще один PE-бинарник, который может быть выполнен в зависимости от конфигурации вредоносной программы, — отмечают эксперты. — Встроенный файл представляет собой драйвер руткита, основанный на опенсорсном проекте Hidden».

Вышеупомянутый троян Sainbox обладает возможностями для загрузки дополнительных полезных нагрузок и кражи данных, а Hidden предоставляет злоумышленникам целый ряд функций для сокрытия связанных с вредоносным ПО процессов и ключей в реестре Windows на взломанных хостах.

Основной целью руткита является сокрытие процессов, файлов, а также ключей и значений реестра. Как объясняют исследователи, для этого он использует мини-фильтр, а также обратные вызовы ядра. Кроме того, Hidden может защищать себя и определенные процессы, а также содержит UI, доступ к которому осуществляется с помощью IOCTL.

«Использование вариаций коммерческих RAT (таких как Gh0st RAT) и руткитов с открытым исходным кодом (таких как Hidden) предоставляет злоумышленникам контроль и скрытность, не требуя при этом большого количества собственных разработок», — говорят в Netskope.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии