DeepSeek: Naoružani instalatori isporučuju Sainbox RAT i skriveni Rootkit, budite oprezni

Istraživači na polju kibernetičke sigurnosti otkrili su sofisticiranu kampanju zlonamjernog softvera koja iskorištava popularnost alata za umjetnu inteligenciju kako bi ciljala korisnike koji govore kineski. Napad se koristi lažnim instalacijskim programima koji se predstavljaju kao preuzimanja legitimnog softvera, uključujući popularni AI chatbot DeepSeek, kako bi na ciljane sustave dostavili napredne perzistentne prijetnje. Ova kampanja predstavlja zabrinjavajuću evoluciju u taktikama socijalnog inženjeringa, gdje akteri prijetnje kapitaliziraju na najnovijim tehnološkim trendovima kako bi povećali uspješnost svojih napada. Zlonamjerna operacija primjenjuje višefazni proces infekcije koji započinje pažljivo izrađenim phishing web stranicama koje imitiraju službene stranice za distribuciju softvera. Žrtve se navode da preuzmu ono što se čini kao legitimni instalacijski programi za popularne kineske aplikacije kao što su WPS Office, Sogou i DeepSeek. Ovi lažni instalacijski programi, uglavnom distribuirani u obliku MSI datoteka, sadrže sofisticirane payload-e dizajnirane da uspostave dugoročnu kompromitaciju sustava, zadržavajući se neprimjetno kroz napredne tehnike izbjegavanja otkrivanja. Analitičari Netskope-a identificirali su ovu kampanju tijekom redovnih aktivnosti lova na prijetnje, otkrivši da lažni instalacijski programi dostavljaju dvije glavne zlonamjerne komponente: Sainbox RAT, varijantu zloglasne obitelji Gh0stRAT, i modificiranu verziju open-source rootkita Hidden. Istraživači su ove aktivnosti pripisali Silver Fox grupi, saveznicima iz Kine, s umjerenim povjerenjem, na temelju taktičkih obrazaca, analize infrastrukture i preferencija ciljanja. Tehnička sofisticiranost napada postaje očita prilikom ispitivanja njegovog mehanizma infekcije. Kada se izvrši, zlonamjerni MSI instalacijski program provodi dvostruku operaciju zavaravanja, istovremeno instalirajući legitimni softver kako bi izbjegao sumnju korisnika, dok istovremeno dostavlja svoj zlonamjerni payload putem složene tehnike bočnog učitavanja. Ključ ovog napada oslanja se na DLL bočno učitavanje, tehniku koja iskorištava proces učitavanja dinamičkih biblioteka sustava Windows kako bi izvršila zlonamjerni kod. Lažni instalacijski program ostavlja tri ključne datoteke: legitimni izvršni program nazvan “Shine.exe”, zlonamjerni DLL koji se predstavlja kao “libcef.dll” (legitimna biblioteka Chromium Embedded Framework) i podatkovnu datoteku “1.txt” koja sadrži kodiran shellcode i konačni payload. Lanac infekcije započinje kada se Shine.exe izvrši i automatski učita zlonamjerni libcef.dll putem mehanizma bočnog učitavanja sustava Windows. Izvezena funkcija DLL-a “cef_api_hash” služi kao ulazna točka, odmah uspostavljajući perzistenciju pisanjem putanje Shine.exe u ključ za pokretanje registra sustava Windows pod nazivom “Management”. Time se osigurava da zlonamjerni softver preživi ponovno pokretanje sustava i zadrži dugoročni pristup kompromitiranom sustavu. Zlonamjerni DLL zatim čita sadržaj datoteke “1.txt”, koja sadrži 0xc04 bajt shellcode temeljen na open-source alatu sRDI (Shellcode Reflective DLL Injection). Ovaj shellcode izvodi reflektivno učitavanje DLL-a, ubrizgavajući Sainbox RAT izravno u memoriju bez dodirivanja diska, čime se izbjegavaju mnogi tradicionalni mehanizmi otkrivanja i uspostavlja sofisticirana infrastruktura za komandu i kontrolu za perzistentnu kompromitaciju sustava.