⚡ Não perca: notícia importante no ar! ⚡
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os usuários de língua chinesa são o objetivo de uma campanha de envenenamento por mecanismo de pesquisa (SEO) que usa sites de software falso para distribuir malware.
"Os atacantes manipularam rankings de pesquisa com plug -ins de SEO e domínios parecidos registrados que imitavam os sites de software legítimos intimamente", disse o pesquisador do Fortinet FortiGuard Labs, Pei Han Liao. "Ao usar linguagem convincente e pequenas substituições de caracteres, eles enganaram as vítimas a visitar páginas falsificadas e baixar malware".
A atividade, descoberta pela empresa de segurança cibernética em agosto de 2025, leva à implantação de famílias de malware como Hiddengh0ST e Winos (também conhecida como Valleyrat), ambas variantes de um Trojan de acesso remoto chamado gh0st.
Vale a pena notar que o uso de winos foi atribuído a um grupo de crime cibernético conhecido como Silver Fox, que também é rastreado como Swimsnake, o Grande Ladrão de Valley (ou Valley Thief), UTG-Q-1000 e Araqune Void. Acredita -se que esteja ativo pelo menos desde 2022.
Na cadeia de ataque mais recente documentada pela Fortinet, os usuários que procuram ferramentas como o Deepl traduzir, Google Chrome, Signal, Telegram, WhatsApp e WPS Office no Google são redirecionados para sites falsos para acionar a entrega dos malware usando instaladores trojanizados.
"Um script chamado NICE.JS controla o processo de entrega de malware nesses sites", explicou Fortinet. "O script segue uma cadeia de várias etapas: primeiro chama um link de download que retorna dados JSON, que inclui um link secundário. Esse link secundário aponta para outra resposta JSON que contém um link que redireciona para o URL final do instalador malicioso".
Presente dentro do instalador está uma DLL maliciosa ("enumw.dll") que realiza várias verificações de anti-análise para evitar a detecção de swimstep, incluindo a extração de outra DLL ("vstdlib.dll") para sobrecarregar as ferramentas de análise, inflando o uso da memória e diminuindo seu desempenho.
A segunda DLL também é projetada para descompactar e iniciar a carga útil principal, mas não antes de verificar a presença do software antivírus total de 360 segurança no host comprometido. Se presente, o malware usa uma técnica chamada TypeLib com seqüestro para configurar a persistência e, finalmente, lançar um executável do Windows ("insalivation.exe")
No caso de o software antivírus não ser instalado no host, a persistência é alcançada criando um atalho do Windows que aponta para o mesmo executável. O objetivo final da infecção é marcar uma DLL ("Aide.dll") que inicia três funções principais -
Comando e controle (C2), para estabelecer a comunicação com um servidor remoto e trocar dados em um formato criptografado
Batimentos cardíacos, para coletar dados do sistema e da vítima e enumerar processos de execução contra uma lista codificada de produtos de segurança
Monitore, avaliar o ambiente da vítima para confirmar a persistência, rastrear a atividade do usuário e farol para o servidor C2
O módulo C2 também suporta comandos para baixar plug -ins adicionais, tecla de log e dados da área de transferência e até sequestrar carteiras de criptomoeda associadas ao Ethereum e Tether. Alguns dos plug -ins identificados são capazes de acompanhar a tela da vítima e foram anteriormente identificados como parte da estrutura de Winos.
"Os instaladores continham o aplicativo legítimo e a carga útil maliciosa, dificultando o perceber a infecção", disse Fortinet. "Mesmo os resultados de pesquisa altamente classificados foram armados dessa maneira, ressaltando a importância de inspecionar cuidadosamente nomes de domínio antes de baixar o software".
Alto -falantes chineses direcionados pela Malware Trifecta, incluindo New Kkrat
O empreendimento ocorre quando o ZSCALER AMPOLABZ sinalizou uma campanha separada, também visando usuários de língua chinesa, com um malware não documentado previamente chamado KKRAT desde o início de maio de 2025, juntamente com Winos e Fatalrat.
KKRAT "compartilha semelhanças de código com rato GH0ST e Big Bad Wolf (大灰狼 大灰狼), um rato normalmente alavancado pelos cibercriminosos da China", disse o pesquisador do ZSCaler Muhammed Irfan V A.
"A KKRAT emprega um protocolo de comunicação de rede semelhante ao Rat Ghost, com uma camada de criptografia adicional após a compactação de dados. Os recursos do rato incluem manipulação de quadro de transferência para substituir endereços de criptomoeda e a implantação de ferramentas de monitoramento remoto (ou seja, SunLogin, GoTTTP)".
Como a atividade mencionada acima, a campanha de ataque usa páginas de instaladoras falsas imitando software popular como o DingTalk para entregar os três Trojans. Os sites de phishing estão hospedados nas páginas do Github, permitindo que os maus atores abusassem da confiança associada a uma plataforma legítima para distribuição de malware. A conta do GitHub usada para implantar as páginas não está mais disponível.
Uma vez lançado pela vítima, o instalador hospedado nos sites executa uma série de cheques para identificar ambientes de sandbox e máquinas virtuais (VMs), além de ignorar o software de segurança. Também req
"Os atacantes manipularam rankings de pesquisa com plug -ins de SEO e domínios parecidos registrados que imitavam os sites de software legítimos intimamente", disse o pesquisador do Fortinet FortiGuard Labs, Pei Han Liao. "Ao usar linguagem convincente e pequenas substituições de caracteres, eles enganaram as vítimas a visitar páginas falsificadas e baixar malware".
A atividade, descoberta pela empresa de segurança cibernética em agosto de 2025, leva à implantação de famílias de malware como Hiddengh0ST e Winos (também conhecida como Valleyrat), ambas variantes de um Trojan de acesso remoto chamado gh0st.
Vale a pena notar que o uso de winos foi atribuído a um grupo de crime cibernético conhecido como Silver Fox, que também é rastreado como Swimsnake, o Grande Ladrão de Valley (ou Valley Thief), UTG-Q-1000 e Araqune Void. Acredita -se que esteja ativo pelo menos desde 2022.
Na cadeia de ataque mais recente documentada pela Fortinet, os usuários que procuram ferramentas como o Deepl traduzir, Google Chrome, Signal, Telegram, WhatsApp e WPS Office no Google são redirecionados para sites falsos para acionar a entrega dos malware usando instaladores trojanizados.
"Um script chamado NICE.JS controla o processo de entrega de malware nesses sites", explicou Fortinet. "O script segue uma cadeia de várias etapas: primeiro chama um link de download que retorna dados JSON, que inclui um link secundário. Esse link secundário aponta para outra resposta JSON que contém um link que redireciona para o URL final do instalador malicioso".
Presente dentro do instalador está uma DLL maliciosa ("enumw.dll") que realiza várias verificações de anti-análise para evitar a detecção de swimstep, incluindo a extração de outra DLL ("vstdlib.dll") para sobrecarregar as ferramentas de análise, inflando o uso da memória e diminuindo seu desempenho.
A segunda DLL também é projetada para descompactar e iniciar a carga útil principal, mas não antes de verificar a presença do software antivírus total de 360 segurança no host comprometido. Se presente, o malware usa uma técnica chamada TypeLib com seqüestro para configurar a persistência e, finalmente, lançar um executável do Windows ("insalivation.exe")
No caso de o software antivírus não ser instalado no host, a persistência é alcançada criando um atalho do Windows que aponta para o mesmo executável. O objetivo final da infecção é marcar uma DLL ("Aide.dll") que inicia três funções principais -
Comando e controle (C2), para estabelecer a comunicação com um servidor remoto e trocar dados em um formato criptografado
Batimentos cardíacos, para coletar dados do sistema e da vítima e enumerar processos de execução contra uma lista codificada de produtos de segurança
Monitore, avaliar o ambiente da vítima para confirmar a persistência, rastrear a atividade do usuário e farol para o servidor C2
O módulo C2 também suporta comandos para baixar plug -ins adicionais, tecla de log e dados da área de transferência e até sequestrar carteiras de criptomoeda associadas ao Ethereum e Tether. Alguns dos plug -ins identificados são capazes de acompanhar a tela da vítima e foram anteriormente identificados como parte da estrutura de Winos.
"Os instaladores continham o aplicativo legítimo e a carga útil maliciosa, dificultando o perceber a infecção", disse Fortinet. "Mesmo os resultados de pesquisa altamente classificados foram armados dessa maneira, ressaltando a importância de inspecionar cuidadosamente nomes de domínio antes de baixar o software".
Alto -falantes chineses direcionados pela Malware Trifecta, incluindo New Kkrat
O empreendimento ocorre quando o ZSCALER AMPOLABZ sinalizou uma campanha separada, também visando usuários de língua chinesa, com um malware não documentado previamente chamado KKRAT desde o início de maio de 2025, juntamente com Winos e Fatalrat.
KKRAT "compartilha semelhanças de código com rato GH0ST e Big Bad Wolf (大灰狼 大灰狼), um rato normalmente alavancado pelos cibercriminosos da China", disse o pesquisador do ZSCaler Muhammed Irfan V A.
"A KKRAT emprega um protocolo de comunicação de rede semelhante ao Rat Ghost, com uma camada de criptografia adicional após a compactação de dados. Os recursos do rato incluem manipulação de quadro de transferência para substituir endereços de criptomoeda e a implantação de ferramentas de monitoramento remoto (ou seja, SunLogin, GoTTTP)".
Como a atividade mencionada acima, a campanha de ataque usa páginas de instaladoras falsas imitando software popular como o DingTalk para entregar os três Trojans. Os sites de phishing estão hospedados nas páginas do Github, permitindo que os maus atores abusassem da confiança associada a uma plataforma legítima para distribuição de malware. A conta do GitHub usada para implantar as páginas não está mais disponível.
Uma vez lançado pela vítima, o instalador hospedado nos sites executa uma série de cheques para identificar ambientes de sandbox e máquinas virtuais (VMs), além de ignorar o software de segurança. Também req
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #hiddengh0st, #winos #e #kkrat #exploram #seo, #páginas #do #github #em #ataques #de #malware #chineses
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário