Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Silver Fox распространяет RAT и руткит под видом легитимного софта

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 07-16-2025, 08:57 AM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default


Специалисты обнаружили новую вредоносную кампанию Silver Fox (она же Void Arachne), в которой используются фиктивные сайты. Ресурсы якобы распространяют популярное ПО (WPS Office, Sogou и DeepSeek), но на самом деле используются для доставки Sainbox RAT и опенсорсного руткита Hidden.



По данным Netskope Threat Labs, фишинговые сайты (например, wpsice[.]com) распространяют вредоносные инсталляторы MSI на китайском языке, то есть целью этой кампании являются носители китайского языка.














«Полезная нагрузка вредоносного ПО включает в себя Sainbox RAT, вариант Gh0st RAT и вариант опенсорсного руткита Hidden с открытым исходным кодом», — говорят исследователи.

Это не первый случай, когда Silver Fox прибегает к подобной тактике. К примеру, летом 2024 года специалисты компании eSentire описывали кампанию, направленную на китайских пользователей Windows, которая осуществлялась с помощью сайтов, якобы предназначенных для загрузки Google Chrome и распространявших Gh0st RAT.



Кроме того, в феврале 2025 года аналитики Morphisec обнаружили другую кампанию с поддельными сайтами, в рамках которой распространялись ValleyRAT (он же Winos 4.0) и другая версия Gh0st RAT.



Как сообщают в Netskope, на этот раз вредоносные MSI-инсталляторы, загруженные с фальшивых сайтов, предназначаются для запуска легитимного исполняемого файла shine.exe, который загружает вредоносную DLL libcef.dll, используя технику side-loading.



Основной задачей этой DLL является извлечение и запуск шеллкода из текстового файла 1.txt, присутствующего в инсталляторе, что в конечном итоге приводит к выполнению другой полезной нагрузки DLL — трояна удаленного доступа Sainbox.










«В разделе .data изученной полезной нагрузки содержится еще один PE-бинарник, который может быть выполнен в зависимости от конфигурации вредоносной программы, — отмечают эксперты. — Встроенный файл представляет собой драйвер руткита, основанный на опенсорсном проекте Hidden».

Вышеупомянутый троян Sainbox обладает возможностями для загрузки дополнительных полезных нагрузок и кражи данных, а Hidden предоставляет злоумышленникам целый ряд функций для сокрытия связанных с вредоносным ПО процессов и ключей в реестре Windows на взломанных хостах.



Основной целью руткита является сокрытие процессов, файлов, а также ключей и значений реестра. Как объясняют исследователи, для этого он использует мини-фильтр, а также обратные вызовы ядра. Кроме того, Hidden может защищать себя и определенные процессы, а также содержит UI, доступ к которому осуществляется с помощью IOCTL.










«Использование вариаций коммерческих RAT (таких как Gh0st RAT) и руткитов с открытым исходным кодом (таких как Hidden) предоставляет злоумышленникам контроль и скрытность, не требуя при этом большого количества собственных разработок», — говорят в Netskope.

@ xakep.ru
 

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 08:43 AM.

Contact Us - Carder.life - Archive - Top