Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware Winos RAT-Malware

Winos RAT-Malware

Von Mezo in Malware, Tools zur Remoteverwaltung
Übersetzen Sie in:

Chinesischsprachige Nutzer wurden zum Ziel einer gezielten SEO-Poisoning-Kampagne, bei der echte Software-Downloadseiten durch überzeugende Fälschungen ersetzt wurden. Angreifer schleusten schädliche Installationsprogramme über manipulierte Suchrankings und nahezu identische Domänen ein. So konnten die Opfer leicht an scheinbar legitime Software gelangen, die in Wirklichkeit aber Remote-Access-Malware einsetzte.

SO FUNKTIONIERT DIE KAMPAGNE

Die Angreifer platzierten gefälschte Seiten in den Suchergebnissen, indem sie SEO-Plugins missbrauchten und ähnliche Domains registrierten, die optisch legitime Anbieter imitierten. Sie setzten auf subtile Zeichenvertauschungen und fließende chinesische Texte, um Nutzer zum Klicken zu verleiten. Sobald ein Opfer auf einer trojanisierten Download-Seite landet, enthält das Installationspaket sowohl die erwartete Anwendung als auch eine versteckte Schadkomponente. Diese Kombination macht eine Erkennung durch Gelegenheitsnutzer unwahrscheinlich.

ZIELE UND ZEITPLAN

Forscher entdeckten im August 2025, dass die Kampagne vor allem Nutzer anlockt, die nach beliebten Produktivitäts- und Kommunikationstools suchen. Beispiele für Suchziele, mit denen Opfer angelockt werden, sind:

DeepL Übersetzer

Google Chrome

Signal

Telegramm

WhatsApp

WPS-Büro

Beteiligte Malware-Familien

Die Angriffe führten zum Einsatz von Varianten des Gh0st RAT, insbesondere von HiddenGh0st und Winos (auch bekannt als ValleyRAT). Winos wird einem Cybercrime-Cluster zugeschrieben, der unter vielen Decknamen – Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 und Void Arachne – verfolgt wird und vermutlich seit mindestens 2022 aktiv ist.

DIE LIEFERKETTE – technische Panne

Eine kleine JavaScript-Datei namens nice.js orchestriert die mehrstufige Übermittlung. Das Skript ruft wiederholt JSON-Antworten ab: Ein erster Download-Link gibt JSON mit einem zweiten Link zurück, dieser zweite Link gibt eine weitere JSON-Nutzlast zurück, die schließlich zur URL des schädlichen Installationsprogramms weiterleitet. Diese mehrstufige Umleitung verschleiert den endgültigen Nutzlastspeicherort und erschwert die einfache Erkennung.

Im Installationsprogramm:

Eine bösartige DLL namens EnumW.dll führt eine Reihe von Anti-Analyse-Prüfungen durch und extrahiert anschließend eine zweite DLL (vstdlib.dll). Die Extraktion und das Verhalten von vstdlib.dll zielen darauf ab, den Speicherverbrauch zu erhöhen und Analysetools zu verlangsamen, was die automatische oder manuelle Überprüfung erschwert.

Die zweite DLL entpackt und startet die Hauptnutzlast erst, nachdem sie das System auf das Vorhandensein eines bestimmten Antivirenprodukts überprüft hat. Wird diese AV-Komponente erkannt, nutzt die Malware TypeLib COM-Hijacking, um sich dauerhaft zu etablieren und schließlich eine Windows-Binärdatei namens insalivation.exe auszuführen.

Wenn kein Antivirenprogramm vorhanden ist, erstellt die Malware stattdessen eine Windows-Verknüpfung, die auf dieselbe ausführbare Datei verweist, um Persistenz zu erreichen.

ENDGÜLTIGE NUTZLAST: SIDELoadING AIDE.dll

Das ultimative Ziel besteht darin, eine DLL namens AIDE.dll zu laden. Sobald AIDE.dll aktiv ist, implementiert es drei primäre Betriebsfunktionen:

  • Command-and-Control (C2): verschlüsselte Kommunikation mit einem Remote-Server für Anweisungen und Datenaustausch.
  • Heartbeat: regelmäßige Erfassung von System- und Opferinformationen, einschließlich der Aufzählung laufender Prozesse und deren Abgleich mit einer fest codierten Liste von Sicherheitsprodukten.
  • Überwachung: Bestätigung der Persistenz, Verfolgung der Benutzeraktivität und regelmäßiges Beaconing zurück zum C2.

ZUSÄTZLICHE FUNKTIONEN UND PLUGINS

Das C2-Modul unterstützt Remote-Befehle zum Abrufen zusätzlicher Plugins. Zu den bekannten Funktionen gehören Keylogging, Clipboard-Capture, Bildschirmüberwachung und Tools zum Kapern von Kryptowährungs-Wallets – insbesondere Wallets mit Ethereum- und Tether-Vermögenswerten. Mehrere der bei diesen Vorfällen beobachteten Plugins scheinen wiederverwendete Komponenten des Winos-Frameworks zu sein und ermöglichen eine kontinuierliche Bildschirmüberwachung.

WARUM DIE INFEKTION SCHWER ZU ERKENNEN IST

Da das Installationsprogramm die legitime Anwendung mit der schädlichen Nutzlast bündelt, bemerkt ein Benutzer, der ein scheinbar vertrauenswürdiges Programm herunterlädt, möglicherweise gar nichts Ungewöhnliches. Die Angreifer haben sogar hochrangige Suchergebnisse als Waffe eingesetzt, was die Wahrscheinlichkeit erhöht, dass gutmeinende Benutzer die kompromittierten Pakete installieren.

VERTEIDIGUNGSEMPFEHLUNGEN

  • Überprüfen Sie Domänennamen immer sorgfältig, bevor Sie Software herunterladen. Achten Sie auf subtile Zeichenersetzungen und nicht übereinstimmende URLs.
  • Bevorzugen Sie offizielle Anbieterseiten oder verifizierte App-Stores gegenüber Downloads aus Suchergebnissen.
  • Verwenden Sie einen Endpunktschutz, der das Verhalten des Installationsprogramms (nicht nur Dateisignaturen) überprüft, und aktivieren Sie den Schutz vor DLL-Sideloading und COM-Hijacking.
  • Überwachen Sie die ungewöhnliche Speichernutzung des Prozesses und das unerwartete Entpack-/Extraktionsverhalten der Installationskomponenten.

    • ABSCHLUSS

    Diese Kampagne zeigt, wie Angreifer SEO-Manipulationen, ähnliche Domänen, mehrstufige Umleitungen und ausgeklügelte DLL-basierte Umgehungsmethoden kombinieren, um Schadsoftware der Gh0st-RAT-Familie an chinesischsprachige Benutzer zu verteilen. Die Mischung aus legitimen Binärdateien und versteckten Schaddaten macht Wachsamkeit unerlässlich: Überprüfen Sie die Quellen, prüfen Sie Domänen und nutzen Sie Abwehrmaßnahmen, die sowohl das Laufzeitverhalten als auch die Dateireputation berücksichtigen.

    Im Trend

    Am häufigsten gesehen

    Wird geladen...