Китайскоязычные пользователи стали целью недавно обнаруженной группы хакеров под названием Void Arachne, которая атакует их с помощью вредоносных Windows Installer (MSI) пакетов, маскирующихся под VPN-софт. Эксперты по безопасности выяснили, что кампания использует эти установочные пакеты для распространения сложной командно-контрольной (C&C) инфраструктуры Winos 4.0.
Одной из тактик Void Arachne является использование технологий ИИ для речи и лиц, а также софта, создающего дипфейк-порнографию, встроенную в зараженные MSI-файлы. Они используют социальные сети и чат-платформы, а также методы поисковой оптимизации (SEO) и отравления поисковых результатов для распространения своих вредоносных программ. Маскируясь под широко используемые приложения, такие как Google Chrome, LetsVPN, QuickVPN и языковой пакет для Telegram для китайских пользователей, вредоносное ПО распространяется через взломанные установочные пакеты, особенно на Telegram-каналах с китайской тематикой.
Void Arachne размещает зараженные ZIP-пакеты, что представляет значительный риск из-за широкого спектра атаки.
Заражённые файлы часто находятся в ZIP-пакетах, и злоумышленники создали специализированную инфраструктуру для их размещения. Как выяснили в vpnРоссия установочные пакеты и архивы для атак, связанных с Telegram, размещаются прямо на платформе, что представляет собой большой риск из-за широкого спектра атаки.
Посредством манипуляции правилами межсетевого экрана, эти пакеты позволяют вредоносным программам свободно распространяться по открытым сетям. Visual Basic Script (VBS), обеспечивающий постоянство и запускающий неопознанный пакетный скрипт, активируется, когда загрузчик расшифровывает и выполняет вторичную полезную нагрузку в памяти после установки. После установления контакта с удаленным сервером этот процесс в конечном итоге предоставляет архитектуру C&C Winos 4.0.
Winos 4.0, написанный на C++, является адаптивным имплантом с доступом к удаленной оболочке, управлением файлами, поиском по диску, атаками типа отказ в обслуживании (DDoS), управлением камерой, захватом снимков экрана, записью с микрофона и возможностями кейлоггинга. Используя 23 специфических компонента для 32- и 64-битных систем, он имеет модульную архитектуру, которая может быть улучшена с помощью сторонних плагинов. Также описаны методы удаления системных логов, загрузки и выполнения нескольких полезных нагрузок с заданного URL и идентификации часто используемого в Китае ПО безопасности.
Исследователи отмечают, что строгие правила Великого китайского фаервола значительно повысили общественный интерес к VPN-сервисам в Китае. Этот возросший интерес привлек внимание злоумышленников, стремящихся воспользоваться инструментами, позволяющими обойти интернет-фильтрацию.
Этот паттерн наглядно демонстрирует кампания Void Arachne, которая использует потребность пользователей в VPN для распространения своего сложного вредоносного ПО и проникновения в сети.
Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.
Леся – ведущий дата-аналитик в проекте VPRussia, обладает более чем 5-летним опытом в области анализа данных и разработки аналитических решений. С образованием в области математики и компьютерных наук, Леся специализируется на использовании Python, R и SQL для обработки и анализа больших данных. Её ключевые задачи включают сбор и анализ данных о пользователях VPN-сервисов, разработку моделей для оценки их эффективности, а также создание отчетов и визуализаций для команды и руководства.