中文用户正成为一场 “搜索引擎优化(SEO)投毒” 攻击活动的目标 —— 攻击者通过伪造软件网站分发恶意软件。
“攻击者借助 SEO 插件操控搜索排名,并注册与正规软件网站高度相似的仿冒域名,” 飞塔(Fortinet)FortiGuard 实验室研究员廖培涵(Pei Han Liao)表示,“他们通过极具迷惑性的话术和细微的字符替换,诱骗受害者访问仿冒页面并下载恶意软件。”
飞塔公司于 2025 年 8 月发现这一攻击活动,该活动会部署多种恶意软件家族,包括 HiddenGh0st 和 Winos(又称 ValleyRAT),这两款恶意软件均为远程访问木马(RAT)“Gh0st RAT” 的变种。
值得注意的是,Winos 恶意软件的使用可追溯至名为 “银狐”(Silver Fox)的网络犯罪团伙,该团伙还被标记为 SwimSnake、“山谷大盗”(The Great Thief of Valley/Valley Thief)、UTG-Q-1000 及 Void Arachne。据信,该团伙至少自 2022 年起便持续活跃。
在飞塔记录的最新攻击链中,用户在谷歌上搜索 “DeepL 翻译”“谷歌浏览器”“Signal”“Telegram”“WhatsApp”“WPS Office” 等工具时,会被重定向至虚假网站,进而通过植入恶意代码的安装程序触发恶意软件投递。
“这些网站上有一个名为‘nice.js’的脚本,负责控制恶意软件的投递流程,” 飞塔公司解释道,“该脚本遵循多步骤链条:首先调用一个下载链接获取 JSON 数据(其中包含二级链接),然后通过这个二级链接获取另一个 JSON 响应,该响应中的链接会进一步重定向至恶意安装程序的最终 URL。”
恶意软件的技术细节与持久化机制
该安装程序中包含一个恶意动态链接库(DLL)“EnumW.dll”,它会执行多项反分析检查以规避检测,包括释放另一个 DLL“vstdlib.dll”—— 通过占用大量内存、拖慢分析工具运行速度的方式,干扰分析工具的正常工作。
第二个 DLL(vstdlib.dll)还负责解压并启动主载荷,但在此之前,它会先检查受感染主机上是否安装了 “360 安全卫士” 杀毒软件:
- 若检测到该软件,恶意软件会利用 “TypeLib COM 劫持” 技术建立持久化,并最终启动一个 Windows 可执行文件 “insalivation.exe”;
- 若主机未安装该杀毒软件,则通过创建指向同一可执行文件的 Windows 快捷方式实现持久化。
此次感染的最终目的,是通过 “侧载”(sideloading)技术加载一个名为 “AIDE.dll” 的 DLL,该 DLL 会启动三项核心功能:
- 命令与控制(C2):与远程服务器建立通信,以加密格式传输数据;
- 心跳(Heartbeat):收集系统与受害者数据,并对照硬编码的安全产品列表枚举正在运行的进程;
- 监控(Monitor):评估受害者环境以确认持久化状态、跟踪用户活动,并向 C2 服务器发送 “心跳” 信号(即 beacon)。
此外,C2 模块还支持多种命令,包括下载额外插件、记录键盘输入与剪贴板数据,甚至劫持以太坊(Ethereum)和泰达币(Tether)相关的加密货币钱包。已发现的部分插件具备监控受害者屏幕的功能,且此前已被证实属于 Winos 恶意软件框架的一部分。
“这些安装程序中同时包含正规应用程序和恶意载荷,用户很难察觉感染迹象,” 飞塔公司指出,“即便是搜索结果中排名靠前的条目,也被攻击者用这种方式武器化,这凸显了‘下载软件前仔细核查域名’的重要性。”
中文用户遭遇 “恶意软件三重奏” 攻击,新型 kkRAT 恶意软件现身
与此同时,卓思睿智(Zscaler) ThreatLabz 团队发现了另一场同样针对中文用户的攻击活动 —— 自 2025 年 5 月初起,该活动除了分发 Winos 和 FatalRAT 恶意软件外,还传播一种此前未被记录的新型恶意软件 “kkRAT”。
“kkRAT 与 Gh0st RAT 及‘大灰狼’(Big Bad Wolf,中国境内网络犯罪分子常用的一款 RAT)均存在代码相似性,” 卓思睿智研究员穆罕默德・伊尔凡・V・A(Muhammed Irfan V A)表示,“kkRAT 采用与 Gh0st RAT 相似的网络通信协议,且在数据压缩后额外增加了一层加密。该 RAT 具备多种功能,包括操控剪贴板替换加密货币地址,以及部署远程监控工具(如向日葵远程控制、GotoHTTP)。”
与前述攻击活动类似,这场攻击也通过伪造 “钉钉”(DingTalk)等热门软件的安装页面,投递上述三款远程访问木马。钓鱼网站托管在 GitHub Pages 上 —— 攻击者借此滥用公众对这一正规平台的信任,用于分发恶意软件。目前,用于部署这些页面的 GitHub 账户已被封禁。
受害者启动网站上的安装程序后,程序会执行一系列检查,以识别沙箱环境和虚拟机(VM),同时绕过安全软件;此外,安装程序还会请求管理员权限 —— 若获得权限,它会枚举并暂时禁用所有活跃的网络适配器,从而干扰杀毒软件的正常运行。
该恶意软件另一个值得关注的特点,是采用 “自带易受攻击驱动程序(BYOVD)” 技术:通过复用开源项目 “RealBlindingEDR” 的代码,解除主机上杀毒软件的防护。恶意软件会专门搜索以下五款程序:
- 360 安全卫士
- 360 杀毒
- 火绒安全软件(HeroBravo System Diagnostics suite)
- 金山毒霸(Kingsoft Internet Security)
- QQ 电脑管家
终止相关杀毒进程后,恶意软件会创建一个以 “SYSTEM 权限” 运行的计划任务,该任务会执行一个批处理脚本,确保用户每次登录电脑时,这些杀毒进程都会被自动终止。
此外,它还会修改 360 杀毒软件的 Windows 注册表项,其目的可能是禁用该软件的网络检查功能。完成上述所有操作后,恶意软件会重新启用网络适配器,恢复系统的网络连接。
恶意软件的载荷投递与核心功能
该安装程序的核心任务是启动一段 shellcode(壳代码),这段 shellcode 会从一个硬编码 URL 中加载另一个经过混淆处理的 shellcode 文件 “2025.bin”。新获取的 shellcode 会作为 “下载器”,获取一个名为 “output.log” 的文件,该文件随后会连接两个不同的 URL,下载两个 ZIP 压缩包:
- trx38.zip:包含一个正规可执行文件和一个恶意 DLL,恶意 DLL 通过 “DLL 侧载” 技术启动;
- p.zip:包含一个名为 “longlq.cl” 的文件,该文件存储着加密后的最终载荷。
“随后,恶意软件会为从 trx38.zip 中提取的正规可执行文件创建快捷方式,并将该快捷方式添加到启动文件夹以实现持久化,同时执行这个正规可执行文件,通过侧载方式启动恶意 DLL,” 卓思睿智公司表示,“恶意 DLL 会解密并执行‘longlq.cl’文件中的最终载荷。最终载荷的具体类型,取决于所下载的第二个 ZIP 压缩包。”
新型 kkRAT 恶意软件的功能解析
上述三种载荷之一便是新型恶意软件 kkRAT。该恶意软件与 C2 服务器建立套接字(socket)连接后,会对受害者设备进行 “画像”,并获取多种插件以执行各类数据窃取任务,具体包括:
- 屏幕捕获,以及模拟键盘、鼠标等用户输入操作;
- 获取并修改剪贴板数据;
- 启用远程桌面功能(如启动网页浏览器、终止活跃进程);
- 通过 shell 界面实现远程命令执行;
- 支持对屏幕进行 Windows 管理操作;
- 提供进程管理功能(如列出活跃进程、按需终止进程);
- 生成活跃网络连接列表;
- 提供应用管理功能(如列出已安装软件、卸载特定软件);
- 枚举并获取 “自动运行(autorun)” 注册表项中存储的数值;
- 充当代理,通过 SOCKS5 协议在客户端与服务器之间路由数据。
除上述插件外,kkRAT 还支持一系列命令,可用于调用插件、充当 “剪贴板劫持器”(替换复制到剪贴板的加密货币钱包地址)、建立持久化、部署 GotoHTTP 与向日葵远程控制工具,以及清除 360 极速浏览器、谷歌浏览器、Internet Explorer、火狐浏览器、QQ 浏览器、搜狗浏览器、Skype、Telegram 等软件的相关数据。
“kkRAT 的命令与插件支持多种危险功能,例如通过剪贴板劫持替换加密货币钱包地址、安装向日葵和 GotoHTTP 等远程监控管理(RMM)工具,以及通过中继网络流量绕过防火墙和 VPN,” 卓思睿智公司指出。
版权声明·<<<---红客联盟--->>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
