СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 марта
#ИБ

Winos4.0: SEO-отравление маскирует установщик KakaoTalk

Малварь Winos4.0 с начала марта этого года распространяется через технику отравления поисковой оптимизации — преступники манипулируют результатами поиска, подставляя вредоносные сайты под страницы с загрузками легитимного ПО. По последним данным, более 5 000 устройств были инфицированы; первая фиксация атаки датируется 9 марта.

В чем суть угрозы

«Малварь маскируется под установщик KakaoTalk: визуально файл выглядит как легитимный установщик, но подписан недействительным сертификатом от «NetEase» и содержит скрытые вредоносные компоненты.»

Атакующие размещают на вредоносных ресурсах файл, который внешне выглядит как KakaoTalk_Setup.exe. Однако при проверке оказывается, что подпись принадлежит не Kakao, а недействительному сертификату от NetEase. Инсталлятор упакован с использованием NSIS (Nullsoft Scriptable Install System) и содержит зашифрованные компоненты, включая Verifier.exe и AutoRecoverData.dll, которые после распаковки реализуют основной вредоносный функционал.

Технические детали работы Winos4.0

  • Упаковка и маскировка: NSIS используется для сокрытия зашифрованных модулей вместе с легитимным файлом KakaoTalk_Setup.exe, создавая видимость доверенности установки.
  • Подпись: файл визуально брендирован под KakaoTalk, но подписан недействительным сертификатом «NetEase».
  • Запуск по ветвям: выполнение вредоносного кода происходит через ShellCode, хранящийся в файлах Profiler.json и GPUCache.xml, запускаемых соответственно Verifier.exe и AutoRecoverData.dll.
  • Логика выбора ShellCode: после создания мьютекса для обеспечения единственного экземпляра малварь проверяет условия, заданные при установке. Если оба условия выполнены, загружается GPUCache2.xml; иначе — по умолчанию GPUCache.xml.
  • Загрузка дополнительных модулей: не зашифрованный ShellCode выполняет полезную нагрузку, включая подгрузку других DLL, что расширяет функционал малвари.
  • Анти-AV поведение: вредонос проверяет наличие антивирусного ПО, в частности китайского продукта ZhuDongFangYu, и адаптирует механизм сохранения и постоянства в зависимости от результатов проверки.
  • Постоянство: Winos4.0 может создавать исключения в Windows Defender и использовать запланированные задачи для обеспечения регулярного запуска Verifier.exe и AutoRecoverData.dll.

Возможности злоумышленников

Функционал Winos4.0 дает злоумышленникам широкий набор возможностей для разведки и дальнейших атак:

  • сбор скриншотов;
  • контроль и мониторинг процессов системы;
  • добыча конфиденциальной информации;
  • загрузка дополнительных вредоносных модулей;
  • выполнение команд, полученных с сервера командования и управления (C2), что обеспечивает гибкость и дистанционное управление инфекцией.

Индикаторы компрометации и признаки заражения

  • появление рядом с легитимным KakaoTalk_Setup.exe подозрительных исполняемых файлов (например, Verifier.exe);
  • необычные записи в планировщике задач, запускающие Verifier.exe или AutoRecoverData.dll;
  • исключения в Windows Defender или уведомления о недействительной цифровой подписи (сертификат «NetEase» для файла, выдающегося за KakaoTalk);
  • сетевые соединения с неизвестными C2-серверами и нестандартная загрузка DLL-файлов.

Почему это опасно

Атака использует несколько проактивных техник: социальную инженерию через выдачу за популярное приложение, SEO-poisoning для привлечения трафика и сложную упаковку с шифрованием компонентов. Такой подход повышает шанс заражения конечного пользователя, который доверяет результатам поисковых систем и не проверяет источник загрузки.

Рекомендации для пользователей и организаций

  • загружайте ПО только с официальных сайтов разработчика или из доверенных магазинов приложений;
  • проверяйте цифровую подпись установочных файлов: сертификат должен принадлежать издателю (Kakao), а не «NetEase»;
  • не полагайтесь исключительно на результаты поисковых систем при поиске установщиков — переходите напрямую на официальный ресурс;
  • обновляйте ОС и средства безопасности, поддерживайте актуальные сигнатуры антивирусов;
  • проверяйте систему на наличие неожиданно созданных запланированных задач и нестандартных выполняемых файлов рядом с легитимными установщиками;
  • при подозрении на компрометацию — изолируйте устройство и обратитесь к специалистам по инцидент-респонсу.

Вывод

Кампания Winos4.0 демонстрирует сочетание старых и новых приемов: доверительная маскировка под популярное приложение, использование SEO-поиска для привлечения жертв и продвинутые техники сокрытия и устойчивости. Основной вектор защиты — аккуратность пользователей и контроль загрузочных источников: скачивайте программы только с официальных ресурсов и проверяйте подписи установочных файлов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: