Logiciel malveillant Winos RAT
Les utilisateurs chinois ont été la cible d'une campagne ciblée de piratage SEO, remplaçant les vraies pages de téléchargement de logiciels par des fausses pages convaincantes. Les attaquants ont introduit des installateurs malveillants via des classements de recherche manipulés et des domaines quasi identiques, permettant ainsi aux victimes de récupérer facilement des logiciels apparemment légitimes, mais qui déploient en réalité des logiciels malveillants d'accès à distance.
Table des matières
COMMENT FONCTIONNE LA CAMPAGNE
Les pirates ont renforcé les pages usurpées dans les résultats de recherche en exploitant abusivement des plugins SEO et en enregistrant des domaines similaires imitant visuellement des fournisseurs légitimes. Ils se sont appuyés sur des échanges subtils de caractères et un texte en chinois courant pour inciter les utilisateurs à cliquer. Lorsqu'une victime accède à une page de téléchargement infectée par un cheval de Troie, le package d'installation contient à la fois l'application attendue et un composant malveillant caché. Cette combinaison rend la détection par les utilisateurs occasionnels peu probable.
OBJECTIFS ET CALENDRIER
En août 2025, des chercheurs ont découvert que la campagne attirait principalement les utilisateurs à la recherche d'outils de productivité et de communication populaires. Voici quelques exemples de cibles de recherche utilisées pour appâter les victimes :
DeepL Traduction
Google Chrome
Signal
Télégramme
Bureau du WPS
FAMILLES DE LOGICIELS MALVEILLANTS IMPLIQUÉES
Ces attaques ont conduit au déploiement de variantes liées au RAT Gh0st, notamment HiddenGh0st et Winos (également connu sous le nom de ValleyRAT). Winos a été attribué à un groupe de cybercriminalité suivi sous de nombreux pseudonymes – Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 et Void Arachne – et serait actif depuis au moins 2022.
LA CHAÎNE DE LIVRAISON — panne technique
Un petit fichier JavaScript nommé nice.js orchestre la livraison en plusieurs étapes. Le script récupère à plusieurs reprises des réponses JSON : un lien de téléchargement initial renvoie un JSON contenant un lien secondaire, lequel renvoie une autre charge utile JSON, qui redirige finalement vers l'URL d'installation malveillante. Cette redirection multicouche masque l'emplacement final de la charge utile et complique la détection.
À l'intérieur du programme d'installation :
Une DLL malveillante nommée EnumW.dll effectue une série de vérifications anti-analyse, puis extrait une seconde DLL (vstdlib.dll). L'extraction et le comportement de vstdlib.dll sont conçus pour accroître l'utilisation de la mémoire et ralentir les outils d'analyse, entravant ainsi l'inspection automatique ou manuelle.
La deuxième DLL décompresse et lance la charge utile principale uniquement après avoir sondé le système pour détecter la présence d'un antivirus spécifique. Si ce composant est détecté, le logiciel malveillant utilise le détournement de TypeLib COM pour établir la persistance et exécuter un binaire Windows nommé insalivation.exe.
Si l'antivirus est absent, le malware crée à la place un raccourci Windows qui pointe vers le même exécutable pour assurer la persistance.
CHARGE UTILE FINALE : SIDELoadING AIDE.dll
L'objectif ultime est de charger une DLL appelée AIDE.dll. Une fois active, AIDE.dll implémente trois fonctionnalités opérationnelles principales :
- Commande et contrôle (C2) : communications cryptées avec un serveur distant pour les instructions et l'échange de données.
- Battement de cœur : collecte périodique d'informations sur le système et la victime, y compris l'énumération des processus en cours d'exécution et leur vérification par rapport à une liste codée en dur de produits de sécurité.
- Surveillance : confirmation de la persistance, suivi de l'activité des utilisateurs et balisage régulier vers le C2.
CAPACITÉS ET PLUGINS SUPPLÉMENTAIRES
Le module C2 prend en charge les commandes à distance pour récupérer des plugins supplémentaires. Ses fonctionnalités connues incluent l'enregistrement de frappe, la capture du presse-papiers, la surveillance d'écran et des outils conçus pour pirater les portefeuilles de cryptomonnaies, notamment ceux contenant des actifs Ethereum et Tether. Plusieurs plugins observés lors de ces incidents semblent être des composants réutilisés du framework Winos et sont capables de surveiller l'écran en continu.
POURQUOI L’INFECTION EST DIFFICILE À DÉTECTER
Étant donné que le programme d'installation regroupe l'application légitime et la charge malveillante, un utilisateur téléchargeant ce qui semble être un programme fiable peut ne rien remarquer d'anormal. Les attaquants ont même utilisé des résultats de recherche bien classés, augmentant ainsi le risque que des utilisateurs bien intentionnés installent les packages compromis.
RECOMMANDATIONS DE DÉFENSE
- Vérifiez toujours soigneusement les noms de domaine avant de télécharger un logiciel ; recherchez les substitutions de caractères subtiles et les URL incompatibles.
- Privilégiez les sites officiels des fournisseurs ou les magasins d'applications vérifiés plutôt que les téléchargements à partir des résultats de recherche.
- Utilisez une protection des points de terminaison qui inspecte le comportement du programme d'installation (pas seulement les signatures de fichiers) et active la protection contre le chargement latéral des DLL et le détournement COM.
- Surveillez l'utilisation inhabituelle de la mémoire de processus et le comportement inattendu de déballage/extraction des composants du programme d'installation.
CONCLUSION
Cette campagne montre comment les attaquants combinent manipulation SEO, domaines similaires, redirection en plusieurs étapes et contournement sophistiqué basé sur des DLL pour diffuser des malwares de la famille Gh0st-RAT aux utilisateurs sinophones. La combinaison de binaires légitimes et de charges utiles cachées rend la vigilance essentielle : vérifier les sources, examiner les domaines et utiliser des défenses qui analysent le comportement d'exécution ainsi que la réputation des fichiers.
