🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os atores de ameaças por trás de uma família de malware conhecida como Winos 4.0 (também conhecido como ValleyRAT) expandiram sua presença na China e Taiwan para atingir o Japão e a Malásia com outro trojan de acesso remoto (RAT) rastreado como HoldingHands RAT (também conhecido como Gh0stBins).
“A campanha baseou-se em e-mails de phishing com PDFs que continham links maliciosos incorporados”, disse Pei Han Liao, pesquisador do FortiGuard Labs da Fortinet, em um relatório compartilhado com o The Hacker News. "Esses arquivos se disfarçaram como documentos oficiais do Ministério das Finanças e incluíam vários links além daquele que entregou o Winos 4.0."
Winos 4.0 é uma família de malware que muitas vezes se espalha por meio de phishing e envenenamento por otimização de mecanismos de pesquisa (SEO), direcionando usuários desavisados para sites falsos disfarçados de softwares populares como Google Chrome, Telegram, Youdao, Sogou AI, WPS Office e DeepSeek, entre outros.
O uso do Winos 4.0 está principalmente ligado a um grupo de crimes cibernéticos chinês "agressivo" conhecido como Silver Fox, que também é rastreado como SwimSnake, The Great Thief of Valley (ou Valley Thief), UTG-Q-1000 e Void Arachne.
No mês passado, a Check Point atribuiu o autor da ameaça ao abuso de um driver vulnerável anteriormente desconhecido associado ao WatchDog Anti-malware como parte de um ataque Traga seu próprio driver vulnerável (BYOVD) com o objetivo de desabilitar software de segurança instalado em hosts comprometidos.
Então, semanas depois, a Fortinet lançou luz sobre outra campanha que ocorreu em agosto de 2025, aproveitando o envenenamento de SEO para distribuir HiddenGh0st e módulos associados ao malware Winos.
O ataque da Silver Fox a Taiwan e ao Japão com o HoldingHands RAT também foi documentado pela empresa de segurança cibernética e por um pesquisador de segurança chamado somedieyoungZZ em junho, com os invasores empregando e-mails de phishing contendo documentos PDF com armadilhas para ativar uma infecção em vários estágios que, em última análise, implanta o trojan.
Vale a pena notar nesta fase que tanto o Winos 4.0 quanto o HoldingHands RAT são inspirados em outro malware RAT conhecido como Gh0st RAT, que teve seu código-fonte vazado em 2008 e desde então tem sido amplamente adotado por vários grupos de hackers chineses.
A Fortinet disse que identificou documentos PDF que se apresentavam como um projeto de regulamentação tributária para Taiwan que incluíam um URL para uma página da web em japonês ("twsww[.]xin/download[.]html"), de onde as vítimas são solicitadas a baixar um arquivo ZIP responsável por entregar o HoldingHands RAT.
Uma investigação mais aprofundada descobriu ataques dirigidos à China que utilizaram documentos do Microsoft Excel com temas fiscais como iscas, alguns datando de março de 2024, para distribuir Winos. Campanhas recentes de phishing, no entanto, mudaram seu foco para a Malásia, usando páginas de destino falsas para enganar os destinatários e fazê-los baixar o HoldingHands RAT.
O ponto de partida é um executável que afirma ser um documento de auditoria de impostos especiais de consumo. Ele é usado para carregar uma DLL maliciosa, que funciona como um carregador de shellcode para “sw.dat”, uma carga projetada para executar verificações de máquina antivirtual (VM), enumerar processos ativos em uma lista de produtos de segurança da Avast, Norton e Kaspersky, e encerrá-los se encontrados, aumentar privilégios e encerrar o Agendador de Tarefas.
Ele também descarta vários outros arquivos na pasta C:\Windows\System32 do sistema -
svchost.ini, que contém o endereço virtual relativo (RVA) da função VirtualAlloc
TimeBrokerClient.dll, o TimeBrokerClient.dll legítimo renomeado como BrokerClientCallback.dll.
msvchost.dat, que contém o shellcode criptografado
system.dat, que contém a carga criptografada
wkscli.dll, uma DLL não utilizada
“O Agendador de Tarefas é um serviço do Windows hospedado por svchost.exe que permite aos usuários controlar quando operações ou processos específicos são executados”, disse Fortinet. "A configuração de recuperação do Agendador de tarefas está configurada para reiniciar o serviço um minuto após sua falha por padrão."
"Quando o Agendador de Tarefas é reiniciado, svchost.exe é executado e carrega o TimeBrokerClient.dll malicioso. Este mecanismo de gatilho não requer o lançamento direto de nenhum processo, tornando a detecção baseada em comportamento mais desafiadora."
A função principal de "TimeBrokerClient.dll" é alocar memória para o shellcode criptografado em "msvchost.dat" invocando a função VirtualAlloc() usando o valor RVA especificado em "svchost.ini". No próximo estágio, "msvchost.dat" descriptografa a carga armazenada em "system.dat" para recuperar a carga HoldingHands.
O HoldingHands está equipado para se conectar a um servidor remoto, enviar informações do host para ele, enviar um sinal de pulsação a cada 60 segundos para manter a conexão e receber e processar comandos emitidos por invasores no sistema infectado. Esses comandos permitem que o malware capture informações confidenciais, execute comandos arbitrários e baixe cargas adicionais.
Uma nova adição de recurso é um novo comando que torna possível
“A campanha baseou-se em e-mails de phishing com PDFs que continham links maliciosos incorporados”, disse Pei Han Liao, pesquisador do FortiGuard Labs da Fortinet, em um relatório compartilhado com o The Hacker News. "Esses arquivos se disfarçaram como documentos oficiais do Ministério das Finanças e incluíam vários links além daquele que entregou o Winos 4.0."
Winos 4.0 é uma família de malware que muitas vezes se espalha por meio de phishing e envenenamento por otimização de mecanismos de pesquisa (SEO), direcionando usuários desavisados para sites falsos disfarçados de softwares populares como Google Chrome, Telegram, Youdao, Sogou AI, WPS Office e DeepSeek, entre outros.
O uso do Winos 4.0 está principalmente ligado a um grupo de crimes cibernéticos chinês "agressivo" conhecido como Silver Fox, que também é rastreado como SwimSnake, The Great Thief of Valley (ou Valley Thief), UTG-Q-1000 e Void Arachne.
No mês passado, a Check Point atribuiu o autor da ameaça ao abuso de um driver vulnerável anteriormente desconhecido associado ao WatchDog Anti-malware como parte de um ataque Traga seu próprio driver vulnerável (BYOVD) com o objetivo de desabilitar software de segurança instalado em hosts comprometidos.
Então, semanas depois, a Fortinet lançou luz sobre outra campanha que ocorreu em agosto de 2025, aproveitando o envenenamento de SEO para distribuir HiddenGh0st e módulos associados ao malware Winos.
O ataque da Silver Fox a Taiwan e ao Japão com o HoldingHands RAT também foi documentado pela empresa de segurança cibernética e por um pesquisador de segurança chamado somedieyoungZZ em junho, com os invasores empregando e-mails de phishing contendo documentos PDF com armadilhas para ativar uma infecção em vários estágios que, em última análise, implanta o trojan.
Vale a pena notar nesta fase que tanto o Winos 4.0 quanto o HoldingHands RAT são inspirados em outro malware RAT conhecido como Gh0st RAT, que teve seu código-fonte vazado em 2008 e desde então tem sido amplamente adotado por vários grupos de hackers chineses.
A Fortinet disse que identificou documentos PDF que se apresentavam como um projeto de regulamentação tributária para Taiwan que incluíam um URL para uma página da web em japonês ("twsww[.]xin/download[.]html"), de onde as vítimas são solicitadas a baixar um arquivo ZIP responsável por entregar o HoldingHands RAT.
Uma investigação mais aprofundada descobriu ataques dirigidos à China que utilizaram documentos do Microsoft Excel com temas fiscais como iscas, alguns datando de março de 2024, para distribuir Winos. Campanhas recentes de phishing, no entanto, mudaram seu foco para a Malásia, usando páginas de destino falsas para enganar os destinatários e fazê-los baixar o HoldingHands RAT.
O ponto de partida é um executável que afirma ser um documento de auditoria de impostos especiais de consumo. Ele é usado para carregar uma DLL maliciosa, que funciona como um carregador de shellcode para “sw.dat”, uma carga projetada para executar verificações de máquina antivirtual (VM), enumerar processos ativos em uma lista de produtos de segurança da Avast, Norton e Kaspersky, e encerrá-los se encontrados, aumentar privilégios e encerrar o Agendador de Tarefas.
Ele também descarta vários outros arquivos na pasta C:\Windows\System32 do sistema -
svchost.ini, que contém o endereço virtual relativo (RVA) da função VirtualAlloc
TimeBrokerClient.dll, o TimeBrokerClient.dll legítimo renomeado como BrokerClientCallback.dll.
msvchost.dat, que contém o shellcode criptografado
system.dat, que contém a carga criptografada
wkscli.dll, uma DLL não utilizada
“O Agendador de Tarefas é um serviço do Windows hospedado por svchost.exe que permite aos usuários controlar quando operações ou processos específicos são executados”, disse Fortinet. "A configuração de recuperação do Agendador de tarefas está configurada para reiniciar o serviço um minuto após sua falha por padrão."
"Quando o Agendador de Tarefas é reiniciado, svchost.exe é executado e carrega o TimeBrokerClient.dll malicioso. Este mecanismo de gatilho não requer o lançamento direto de nenhum processo, tornando a detecção baseada em comportamento mais desafiadora."
A função principal de "TimeBrokerClient.dll" é alocar memória para o shellcode criptografado em "msvchost.dat" invocando a função VirtualAlloc() usando o valor RVA especificado em "svchost.ini". No próximo estágio, "msvchost.dat" descriptografa a carga armazenada em "system.dat" para recuperar a carga HoldingHands.
O HoldingHands está equipado para se conectar a um servidor remoto, enviar informações do host para ele, enviar um sinal de pulsação a cada 60 segundos para manter a conexão e receber e processar comandos emitidos por invasores no sistema infectado. Esses comandos permitem que o malware capture informações confidenciais, execute comandos arbitrários e baixe cargas adicionais.
Uma nova adição de recurso é um novo comando que torna possível
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #silver #fox #expande #ataques #winos #4.0 #para #japão #e #malásia #via #holdinghands #rat
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário