Скачали DeepSeek с левого сайта? Sainbox RAT уже 72 часа мониторит ваши пароли
NewsMakerЛегендарный троян Gh0st RAT восстал из мёртвых под новым именем.
Китайская хакерская группа Silver Fox, известная также под именем Void Arachne, вновь оказалась в центре внимания специалистов по информационной безопасности. По данным компании Netskope, зафиксирована новая вредоносная кампания, в рамках которой злоумышленники создают поддельные сайты популярных программ, включая WPS Office, Sogou и DeepSeek, чтобы заразить компьютеры пользователей шпионским ПО.
Как отмечается, фальшивые веб-ресурсы, среди которых обнаружен домен «wpsice[.]com», маскируются под официальные страницы известных приложений. Основной удар направлен на китаеязычную аудиторию — это подтверждает наличие на сайтах MSI-установщиков, выполненных исключительно на китайском языке.
Через эти вредоносные установщики на устройства загружается набор инструментов, включающий троян Sainbox RAT — модифицированную версию широко известного Gh0st RAT — а также скрытый драйвер на базе открытого проекта Hidden, предназначенный для маскировки следов присутствия вредоносного кода.
Специалисты Netskope подчёркивают, что такой подход позволяет злоумышленникам эффективно управлять заражёнными системами и скрывать признаки атаки без необходимости разрабатывать собственные сложные инструменты. Использование готовых решений вроде Hidden упрощает задачу, сохраняя высокий уровень незаметности.
В рамках текущей кампании злоумышленники применяют методику подмены легитимных библиотек — DLL Sideloading . Загружаемый через сайт установщик запускает легитимный исполняемый файл под названием «shine.exe», который, в свою очередь, инициирует выполнение модифицированной библиотеки «libcef.dll». Эта библиотека извлекает и активирует вредоносный код, спрятанный внутри текстового файла «1.txt», находящегося в составе инсталлятора.
Итогом является загрузка дополнительной DLL — именно она обеспечивает запуск Sainbox RAT и скрытного драйвера. Этот драйвер эффективно маскирует активность трояна, скрывая процессы и ключи реестра, связанные с вредоносным ПО.
Примечательно, что Silver Fox не впервые прибегает к такой тактике. Летом 2024 года специалисты eSentire зафиксировали аналогичную кампанию, когда через поддельные сайты браузера Google Chrome распространялся Gh0st RAT. А в феврале текущего года компания Morphisec обнаружила ещё одну атаку той же группы — тогда мошенники использовали фальшивые сайты, рекламирующие браузер, чтобы заразить пользователей другой модификацией Gh0st RAT — известной под названием ValleyRAT (или Winos 4.0).
По данным Proofpoint, ValleyRAT впервые был замечен осенью 2023 года и применялся преимущественно против китаеязычных пользователей. Тогда же распространялись и другие инструменты, включая Sainbox RAT и Purple Fox .
Эксперты предупреждают, что использование модифицированных версий известных троянов и открытых руткитов позволяет злоумышленникам не только обойти базовые меры защиты, но и минимизировать затраты на разработку новых инструментов. Такая тактика делает кампании Silver Fox особенно опасными, учитывая их целенаправленную ориентацию на конкретные языковые и региональные аудитории.
Китайская хакерская группа Silver Fox, известная также под именем Void Arachne, вновь оказалась в центре внимания специалистов по информационной безопасности. По данным компании Netskope, зафиксирована новая вредоносная кампания, в рамках которой злоумышленники создают поддельные сайты популярных программ, включая WPS Office, Sogou и DeepSeek, чтобы заразить компьютеры пользователей шпионским ПО.
Как отмечается, фальшивые веб-ресурсы, среди которых обнаружен домен «wpsice[.]com», маскируются под официальные страницы известных приложений. Основной удар направлен на китаеязычную аудиторию — это подтверждает наличие на сайтах MSI-установщиков, выполненных исключительно на китайском языке.
Через эти вредоносные установщики на устройства загружается набор инструментов, включающий троян Sainbox RAT — модифицированную версию широко известного Gh0st RAT — а также скрытый драйвер на базе открытого проекта Hidden, предназначенный для маскировки следов присутствия вредоносного кода.
Специалисты Netskope подчёркивают, что такой подход позволяет злоумышленникам эффективно управлять заражёнными системами и скрывать признаки атаки без необходимости разрабатывать собственные сложные инструменты. Использование готовых решений вроде Hidden упрощает задачу, сохраняя высокий уровень незаметности.
В рамках текущей кампании злоумышленники применяют методику подмены легитимных библиотек — DLL Sideloading . Загружаемый через сайт установщик запускает легитимный исполняемый файл под названием «shine.exe», который, в свою очередь, инициирует выполнение модифицированной библиотеки «libcef.dll». Эта библиотека извлекает и активирует вредоносный код, спрятанный внутри текстового файла «1.txt», находящегося в составе инсталлятора.
Итогом является загрузка дополнительной DLL — именно она обеспечивает запуск Sainbox RAT и скрытного драйвера. Этот драйвер эффективно маскирует активность трояна, скрывая процессы и ключи реестра, связанные с вредоносным ПО.
Примечательно, что Silver Fox не впервые прибегает к такой тактике. Летом 2024 года специалисты eSentire зафиксировали аналогичную кампанию, когда через поддельные сайты браузера Google Chrome распространялся Gh0st RAT. А в феврале текущего года компания Morphisec обнаружила ещё одну атаку той же группы — тогда мошенники использовали фальшивые сайты, рекламирующие браузер, чтобы заразить пользователей другой модификацией Gh0st RAT — известной под названием ValleyRAT (или Winos 4.0).
По данным Proofpoint, ValleyRAT впервые был замечен осенью 2023 года и применялся преимущественно против китаеязычных пользователей. Тогда же распространялись и другие инструменты, включая Sainbox RAT и Purple Fox .
Эксперты предупреждают, что использование модифицированных версий известных троянов и открытых руткитов позволяет злоумышленникам не только обойти базовые меры защиты, но и минимизировать затраты на разработку новых инструментов. Такая тактика делает кампании Silver Fox особенно опасными, учитывая их целенаправленную ориентацию на конкретные языковые и региональные аудитории.