Los usuarios de habla china son el objetivo de un grupo de actividades de amenazas nunca antes visto con nombre en código Aracne vacía que emplea archivos maliciosos de Windows Installer (MSI) para redes privadas virtuales (VPN) para ofrecer un marco de comando y control (C&C) llamado Winos 4.0.
“La campaña también promueve archivos MSI comprometidos incrustados con nudificadores y software generador de pornografía deepfake, así como tecnologías faciales y de voz con inteligencia artificial”, afirman los investigadores de Trend Micro Peter Girnus, Aliakbar Zahravi y Ahmed Mohamed Ibrahim. dicho en un informe técnico publicado hoy.
“La campaña utiliza [Search Engine Optimization] tácticas de envenenamiento y redes sociales y plataformas de mensajería para distribuir malware”.
La firma de ciberseguridad, que descubrió el nuevo grupo de actores de amenazas a principios de abril de 2024, dijo que los ataques implican publicidad de software popular como Google Chrome, LetsVPN, QuickVPN y un paquete de idioma de Telegram para el idioma chino simplificado para distribuir Winos. Las cadenas de ataques alternativas aprovechan los instaladores de puerta trasera propagados en canales de Telegram con temática china.
Los enlaces surgidos a través de tácticas de SEO de sombrero negro apuntan a una infraestructura dedicada configurada por el adversario para organizar los instaladores en forma de archivos ZIP. Para los ataques dirigidos a canales de Telegram, los instaladores MSI y los archivos ZIP se alojan directamente en la plataforma de mensajería.
El uso de un paquete malicioso en idioma chino es interesante, entre otras cosas porque plantea una enorme superficie de ataque. Otros tipos de software pretenden ofrecer capacidades para generar videos pornográficos deepfake no consensuales para su uso en estafas de sextorsióntecnologías de inteligencia artificial que podrían usarse para secuestro virtualy herramientas para alterar la voz y cambiar la cara.
Los instaladores están diseñados para modificar las reglas del firewall para incluir en la lista permitida el tráfico entrante y saliente asociado con el malware cuando se conecta a redes públicas.
También coloca un cargador que descifra y ejecuta una carga útil de segunda etapa en la memoria, que posteriormente lanza un script de Visual Basic (VBS) para configurar la persistencia en el host y desencadenar la ejecución de un script por lotes desconocido y entregar el marco de C&C de Winos 4.0. mediante un stager que establece comunicaciones C&C con un servidor remoto.
Un implante escrito en C++, Winos 4.0 está equipado para llevar a cabo gestión de archivos, denegación de servicio distribuido (DDoS) usando TCP/UDP/ICMP/HTTP, búsqueda de disco, control de cámara web, captura de pantalla, grabación de micrófono, registro de teclas y acceso remoto al shell. .
Para subrayar la complejidad de la puerta trasera hay un sistema basado en complementos que implementa las características antes mencionadas a través de un conjunto de 23 componentes dedicados compilados para variantes de 32 y 64 bits. Se puede ampliar aún más mediante complementos externos integrados por los propios actores de la amenaza, según sus necesidades.
El componente central de WinOS también incluye métodos para detectar la presencia de software de seguridad frecuente en China, además de actuar como el principal orquestador responsable de cargar los complementos, borrar los registros del sistema y descargar y ejecutar cargas útiles adicionales desde una URL proporcionada.
“La conectividad a Internet en la República Popular China está sujeta a una estricta regulación mediante una combinación de medidas legislativas y controles tecnológicos conocidos colectivamente como el Gran Cortafuegos de China”, señalaron los investigadores.
“Debido al estricto control gubernamental, los servicios VPN y el interés público en esta tecnología han aumentado notablemente. Esto, a su vez, ha aumentado el interés de los actores de amenazas en explotar el mayor interés público en el software que puede evadir el Gran Cortafuegos y la censura en línea”.