<div id="post_message_800475">

Специалисты <a href="https://www.netskope.com/blog/deepseek-deception-sainbox-rat-hidden-rootkit-delivery" target="_blank">обнаружили </a>новую вредоносную кампанию Silver Fox (она же Void Arachne), в которой используются фиктивные сайты. Ресурсы якобы распространяют популярное ПО (WPS Office, Sogou и DeepSeek), но на самом деле используются для доставки Sainbox RAT и опенсорсного руткита Hidden.<br/>
<br/>
По данным Netskope Threat Labs, фишинговые сайты (например, wpsice[.]com) распространяют вредоносные инсталляторы MSI на китайском языке, то есть целью этой кампании являются носители китайского языка.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/06/530209/DeepSeek-Deception-1.jpg"/><br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Полезная нагрузка вредоносного ПО включает в себя Sainbox RAT, вариант Gh0st RAT и вариант опенсорсного руткита Hidden с открытым исходным кодом», — говорят исследователи.</font>
</td>
</tr>
</table>
</div>Это не первый случай, когда Silver Fox прибегает к подобной тактике. К примеру, летом 2024 года специалисты компании eSentire <a href="https://www.esentire.com/blog/a-dropper-for-deploying-gh0st-rat" target="_blank">описывали кампанию</a>, направленную на китайских пользователей Windows, которая осуществлялась с помощью сайтов, якобы предназначенных для загрузки Google Chrome и распространявших Gh0st RAT.<br/>
<br/>
Кроме того, в феврале 2025 года аналитики Morphisec обнаружили <a href="https://www.morphisec.com/blog/rat-race-valleyrat-malware-china/" target="_blank">другую кампанию </a>с поддельными сайтами, в рамках которой распространялись ValleyRAT (он же Winos 4.0) и другая версия Gh0st RAT.<br/>
<br/>
Как сообщают в Netskope, на этот раз вредоносные MSI-инсталляторы, загруженные с фальшивых сайтов, предназначаются для запуска легитимного исполняемого файла shine.exe, который загружает вредоносную DLL libcef.dll, используя технику side-loading.<br/>
<br/>
Основной задачей этой DLL является извлечение и запуск шеллкода из текстового файла 1.txt, присутствующего в инсталляторе, что в конечном итоге приводит к выполнению другой полезной нагрузки DLL — трояна удаленного доступа Sainbox.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«В разделе .data изученной полезной нагрузки содержится еще один PE-бинарник, который может быть выполнен в зависимости от конфигурации вредоносной программы, — отмечают эксперты. — Встроенный файл представляет собой драйвер руткита, основанный на опенсорсном проекте <a href="https://github.com/JKornev/hidden" target="_blank">Hidden</a>».</font>
</td>
</tr>
</table>
</div>Вышеупомянутый троян Sainbox обладает возможностями для загрузки дополнительных полезных нагрузок и кражи данных, а Hidden предоставляет злоумышленникам целый ряд функций для сокрытия связанных с вредоносным ПО процессов и ключей в реестре Windows на взломанных хостах.<br/>
<br/>
Основной целью руткита является сокрытие процессов, файлов, а также ключей и значений реестра. Как объясняют исследователи, для этого он использует мини-фильтр, а также обратные вызовы ядра. Кроме того, Hidden может защищать себя и определенные процессы, а также содержит UI, доступ к которому осуществляется с помощью IOCTL.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Использование вариаций коммерческих RAT (таких как Gh0st RAT) и руткитов с открытым исходным кодом (таких как Hidden) предоставляет злоумышленникам контроль и скрытность, не требуя при этом большого количества собственных разработок», — говорят в Netskope.</font>
</td>
</tr>
</table>
</div><a href="https://xakep.ru/2025/06/30/silver-fox-fake-sites/" target="_blank">@ xakep.ru</a>
</div>