Sofisticirana kampanja malicioznog softvera koja koristi lažne instalacijske programe prerušene u popularne aplikacije pojavila se kao značajna prijetnja infrastrukturi sajber sigurnosti, a napadači implementiraju teško otkriti maliciozni softver Winos 4.0 putem obmanjujućih instalacija VPN-a i QQBrowsera.
Kampanja predstavlja zabrinjavajuću evoluciju tehnika napada koji se nalaze unutar memorije, koristeći višeslojne lance infekcije koji u potpunosti zaobilaze tradicionalne mehanizme detekcije antivirusnog programa djelujući isključivo unutar sistemske memorije.
Zlonamjerna operacija, koja se pojavila tokom pojačanog praćenja sajber sigurnosti početkom 2025. godine, koristi ono što su istraživači sigurnosti nazvali “Catena loader” – modularnu, lančanu strukturu infekcije koja koristi ugrađeni shellcode i sofisticiranu logiku prebacivanja konfiguracije za postavljanje korisnih tereta bez ostavljanja tradicionalnih tragova zasnovanih na datotekama.
Ovaj pristup omogućava malicioznom softveru da uspostavi trajne mogućnosti udaljenog pristupa, a istovremeno održava izuzetno nizak profil detekcije na zaraženim sistemima.
Analitičari Rapid7-a su prvi put identifikovali kampanju tokom istrage Managed Detection and Response iz februara 2025. godine, gdje je na korisničkoj infrastrukturi otkrivena sumnjiva aktivnost koja uključuje trojanski NSIS instaler maskiran kao QQBrowser instalacija.
.webp)
Od ovog početnog otkrića, istraživači su primijetili konzistentnu evoluciju taktika kampanje, pri čemu su hakeri pokazali izuzetnu prilagodljivost modifikovanjem mehanizama isporuke, a istovremeno zadržavanjem osnovne operativne infrastrukture i metodologija izvršenja.
Čini se da je kampanja strateški usmjerena na kinesko govorno područje, s ugrađenim jezičnim provjerama i infrastrukturom pretežno smještenom u Hong Kongu, što sugeriše ciljane regionalne operacije.
Iako nije uočeno široko rasprostranjeno ciljanje, sofisticirana priroda lanca napada i dokazi o dugoročnom planiranju ukazuju na uključenost sposobne grupe prijetnji sa značajnim resursima i tehničkom ekspertizom.
Mehanizam infekcije: Catena Loader lanac
Catena loader predstavlja majstorski osmišljen mehanizam zaraze koji demonstrira napredno razumijevanje tehnika iskorištavanja i izbjegavanja na nivou sistema.
Napad počinje s trojaniziranim NSIS instalacijskim programima koji se maskiraju kao legitimne aplikacije poput LetsVPN-a, Telegrama ili Chrome instalacijskih programa, a svaki od njih sadrži važeće digitalne certifikate i funkcionalne aplikacije mamac kako bi održali uvjerljivu legitimnost.
.webp)
Nakon izvršavanja, maliciozni instalacijski program pokreće pažljivo orkestrovani višestepeni proces.
NSIS skripta inicijalno izvršava PowerShell naredbe kako bi dodala izuzeća Microsoft Defendera na sve sistemske diskove (od C:\ do Z:$$), efektivno neutralizujući zaštitu krajnjih tačaka prije nego što se nastavi s implementacijom sadržaja.
Instalacijski program zatim postavlja komponente u više direktorija, smještajući učitavače prve faze i shellcode blobove u %LOCALAPPDATA%, dok pozicionira podatke druge faze u %APPDATA%\TrustAsia.
Sofisticiranost lanca infekcije postaje očigledna u korištenju tehnika reflektivnog ubrizgavanja DLL-a , posebno koristeći Shellcode Reflective DLL Injection (sRDI) okvir otvorenog koda za učitavanje malicioznog koda u potpunosti unutar memorije.
Konfiguracijske datoteke pod nazivom Config.inii Config2.ini, uprkos svom bezopasnom izgledu, sadrže binarne blobove koji ugrađuju sRDI shellcode i kompletne DLL datoteke koje se izvršavaju bez tradicionalnog izdvajanja datoteka.
Centralni dio rada programa za učitavanje je sistem odlučivanja zasnovan na mutex-ovima koji određuje izbor korisnog tereta na osnovu uslova izvršavanja.
Zlonamjerni softver kreira čvrsto kodirane mutex-ove kao što su .org VJANCAVESUi provjerava datoteke markera kako Temp.apsbi utvrdio da li da učita .org Config.iniili Config2.ini.org.
Ovaj sofisticirani mehanizam prebacivanja omogućava kampanji da rasporedi različite korisne podatke na osnovu stanja infekcije i uslova sistema, što u konačnici isporučuje Winos 4.0 stager sa komandno-kontrolnih servera koji se prvenstveno nalaze na 134.122.204[.]11:18852 i 103.46.185[.]44:443.
Izvor: CyberSecurityNews
