Οι χρήστες που μιλούν κινέζικα είναι στόχοι μιας ασυνήθιστης κακόβουλης εκστρατείας, η οποία ονομάζεται Void Arachne.
Η εκστρατεία αυτή χρησιμοποιεί κακόβουλα αρχεία Windows Installer (MSI) για εικονικά ιδιωτικά δίκτυα (VPN) ώστε να παρέχει ένα πλαίσιο εντολών και ελέγχου (C&C) με την ονομασία Winos 4.0.
Διαβάστε περισσότερα: Απάτη της Markopolo στοχεύει χρήστες ψηφιακών νομισμάτων (crypto)
«Η εκστρατεία προωθεί επίσης μολυσμένα αρχεία MSI που περιέχουν γυμνό, deepfake λογισμικό δημιουργίας πορνογραφίας, καθώς και τεχνολογίες AI για τη φωνή και το πρόσωπο», αναφέρουν οι ερευνητές της Trend Micro, Peter Girnus, Aliakbar Zahravi και Ahmed Mohamed Ibrahim, σε τεχνική έκθεση που δημοσιεύθηκε σήμερα. «Η καμπάνια χρησιμοποιεί poisoning τακτικές σε SEO και πλατφόρμες κοινωνικής δικτύωσης και ανταλλαγής μηνυμάτων για τη διανομή κακόβουλου λογισμικού».
Η εταιρεία κυβερνοασφάλειας, που ανακάλυψε τη νέα ομάδα απειλών στις αρχές Απριλίου 2024, δήλωσε ότι οι επιθέσεις περιλαμβάνουν τη διαφήμιση δημοφιλούς λογισμικού όπως Google Chrome, LetsVPN, QuickVPN και ένα πακέτο γλωσσών Telegram για τα απλά κινέζικα, για τη διανομή του Winos. Εναλλακτικές αλυσίδες επίθεσης χρησιμοποιούν προγράμματα εγκατάστασης με backdoors που διανέμονται σε κανάλια Telegram με θεματολογία την κινέζικη γλώσσα.
Οι συνδέσμοι που εμφανίζονται μέσω τακτικών SEO μαύρου καπέλου παραπέμπουν σε ειδική υποδομή που έχει δημιουργηθεί από τον αντίπαλο για τη διανομή των εγκαταστάσεων υπό τη μορφή αρχείων ZIP. Όσον αφορά τις επιθέσεις που στοχεύουν κανάλια Telegram, τα MSI installers και τα αρχεία ZIP φιλοξενούνται απευθείας στην πλατφόρμα ανταλλαγής μηνυμάτων.
Η χρήση ενός κακόβουλου πακέτου κινεζικής γλώσσας είναι ιδιαίτερα ενδιαφέρουσα, καθώς δημιουργεί μια τεράστια επιφάνεια επίθεσης. Άλλα λογισμικά επιδιώκουν να προσφέρουν δυνατότητες δημιουργίας μη συναινετικών deepfake πορνογραφικών βίντεο για απάτες σεξουαλικής εξαγοράς, τεχνολογίες AI για εικονικές απαγωγές, καθώς και εργαλεία αλλαγής φωνής και προσώπου.
Τα προγράμματα εγκατάστασης έχουν σχεδιαστεί να τροποποιούν τους κανόνες του τείχους προστασίας, επιτρέποντας την εισερχόμενη και εξερχόμενη κίνηση που σχετίζεται με το κακόβουλο λογισμικό όταν οι συσκευές είναι συνδεδεμένες σε δημόσια δίκτυα.
Επιπλέον, απορρίπτει έναν φορτωτή ο οποίος αποκρυπτογραφεί και εκτελεί ένα ωφέλιμο φορτίο δεύτερου σταδίου στη μνήμη. Στη συνέχεια, αυτό ενεργοποιεί ένα σενάριο Visual Basic (VBS) για να εγκαθιστά επιμονή στον υπολογιστή και να εκτελεί ένα άγνωστο σενάριο batch, παραδίδοντας το πλαίσιο C&C του Winos 4.0 μέσω ενός σταδίου που δημιουργεί επικοινωνίες C&C με έναν απομακρυσμένο server.
Δείτε επίσης: Deepfake απάτες έχουν κοστίσει εκατομμύρια σε εταιρείες
Το Winos 4.0, γραμμένο σε C++, είναι εξοπλισμένο για διαχείριση αρχείων , επιθέσεις άρνησης υπηρεσιών (DDoS) μέσω TCP/UDP/ICMP/HTTP, αναζήτηση δίσκου, έλεγχο κάμερας web, λήψη στιγμιότυπων οθόνης, εγγραφή μικροφώνου, καταγραφή πλήκτρων και απομακρυσμένη shell πρόσβαση.
Η πολυπλοκότητα του backdoor ενισχύεται από μια προσθήκη, η οποία επιτυγχάνει τις προαναφερθείσες δυνατότητες μέσω ενός συνόλου 23 αποκλειστικών στοιχείων για παραλλαγές 32 και 64 bit. Επιπλέον, μπορεί να επεκταθεί περαιτέρω με εξωτερικές προσθήκες που ενσωματώνονται από τους ίδιους τους φορείς απειλών, σύμφωνα με τις ανάγκες τους.
Το βασικό στοιχείο του Winos περιλαμβάνει επίσης μεθόδους για τον εντοπισμό της παρουσίας λογισμικού ασφάλειας που επικρατεί στην Κίνα, ενώ ενεργεί ως ο κύριος “orchestrator” για τη την προσθήκη, την εκκαθάριση αρχείων καταγραφής συστήματος και τη λήψη και εκτέλεση πρόσθετων ωφέλιμων φορτίων από μια καθορισμένη διεύθυνση URL.
«Η συνδεσιμότητα στο διαδίκτυο στη Λαϊκή Δημοκρατία της Κίνας ελέγχεται αυστηρά μέσω ενός συνδυασμού νομοθετικών μέτρων και τεχνολογικών ελέγχων, γνωστών συλλογικά ως το «Great Firewall της Κίνας», επισημαίνουν οι ερευνητές.
Διαβάστε ακόμη: Deepfake: Πώς λειτουργεί και πώς να ανιχνεύσετε ψεύτικο περιεχόμενο;
«Λόγω του αυστηρού κρατικού ελέγχου, η ζήτηση για υπηρεσίες VPN και το δημόσιο ενδιαφέρον για αυτή την τεχνολογία έχουν αυξηθεί σημαντικά. Αυτό, με τη σειρά του, έχει προσελκύσει την προσοχή των απειλητικών παραγόντων, που επιδιώκουν να εκμεταλλευτούν την αυξημένη ανάγκη για λογισμικό, ικανό να παρακάμψει το Great Firewall και την διαδικτυακή λογοκρισία».
Πηγή: thehackernews
