Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware RAT de Winos

Malware RAT de Winos

Por Mezo en Software malicioso, Herramientas de administración remota
Traducir a:

Los usuarios de habla china han sido blanco de una campaña de envenenamiento SEO que sustituye páginas de descarga de software reales por falsificaciones convincentes. Los atacantes introdujeron instaladores maliciosos mediante clasificaciones de búsqueda manipuladas y dominios casi idénticos, lo que facilita a las víctimas obtener software aparentemente legítimo, pero que en realidad distribuye malware de acceso remoto.

CÓMO FUNCIONA LA CAMPAÑA

Los actores de amenazas promocionaban páginas falsas en los resultados de búsqueda mediante el uso indebido de plugins de SEO y el registro de dominios falsos que imitaban visualmente a proveedores legítimos. Se basaban en sutiles intercambios de caracteres y un texto en chino fluido para engañar a los usuarios y hacer que hicieran clic. Una vez que la víctima llega a una página de descarga troyanizada, el paquete de instalación contiene tanto la aplicación esperada como un componente malicioso oculto. Esta combinación dificulta la detección por parte de usuarios ocasionales.

OBJETIVOS Y CRONOGRAMA

En agosto de 2025, los investigadores descubrieron que la campaña atrae principalmente a usuarios que buscan herramientas populares de productividad y comunicación. Algunos ejemplos de objetivos de búsqueda utilizados para atraer a las víctimas incluyen:

Traductor de DeepL

Google Chrome

Señal

Telegrama

WhatsApp

Oficina de WPS

FAMILIAS DE MALWARE IMPLICADAS

Los ataques llevaron al despliegue de variantes relacionadas con Gh0st RAT, en particular HiddenGh0st y Winos (también conocido como ValleyRAT). Winos se ha atribuido a un clúster de ciberdelincuencia rastreado bajo diversos alias: Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 y Void Arachne, y se cree que ha estado activo desde al menos 2022.

LA CADENA DE ENTREGA — avería técnica

Un pequeño archivo JavaScript llamado nice.js organiza la entrega en varios pasos. El script obtiene repetidamente respuestas JSON: un enlace de descarga inicial devuelve JSON con un enlace secundario, y ese segundo enlace devuelve otra carga útil JSON, que finalmente redirige a la URL del instalador malicioso. Esta redirección por capas ofusca la ubicación final de la carga útil y dificulta la detección.

Dentro del instalador:

Una DLL maliciosa llamada EnumW.dll realiza una serie de comprobaciones de antianálisis y luego extrae una segunda DLL (vstdlib.dll). La extracción y el comportamiento de vstdlib.dll están diseñados para aumentar el uso de memoria y ralentizar las herramientas de análisis, lo que dificulta la inspección automatizada o manual.

La segunda DLL descomprime y ejecuta la carga útil principal solo después de analizar el sistema para detectar la presencia de un producto antivirus específico. Si se detecta dicho componente, el malware secuestra el protocolo COM de TypeLib para establecer persistencia y, finalmente, ejecutar un binario de Windows llamado insalivation.exe.

Si el antivirus no está disponible, el malware crea un acceso directo de Windows que apunta al mismo ejecutable para lograr la persistencia.

CARGA ÚTIL FINAL: CARGA LATERAL DE AIDE.dll

El objetivo final es instalar una DLL llamada AIDE.dll. Una vez activa, AIDE.dll implementa tres funciones operativas principales:

  • Comando y control (C2): comunicaciones cifradas con un servidor remoto para instrucciones e intercambio de datos.
  • Latido: recopilación periódica de información del sistema y de las víctimas, que incluye la enumeración de los procesos que se están ejecutando y su comparación con una lista codificada de productos de seguridad.
  • Monitor: confirmación de persistencia, seguimiento de la actividad del usuario y envío regular de señales al C2.

CAPACIDADES ADICIONALES Y COMPLEMENTOS

El módulo C2 admite comandos remotos para obtener complementos adicionales. Entre sus funciones conocidas se incluyen el registro de teclas, la captura del portapapeles, la monitorización de pantalla y herramientas diseñadas para secuestrar monederos de criptomonedas, en concreto, los que contienen activos de Ethereum y Tether. Varios complementos observados en estos incidentes parecen ser componentes reutilizados del framework Winos y son capaces de realizar una monitorización continua de la pantalla.

¿POR QUÉ LA INFECCIÓN ES DIFÍCIL DE DETECTAR?

Dado que el instalador incluye la aplicación legítima junto con la carga maliciosa, un usuario que descargue un programa aparentemente confiable podría no notar nada extraño. Los atacantes utilizaron como arma incluso los resultados de búsqueda de alto rango, lo que aumenta la probabilidad de que usuarios bienintencionados instalen los paquetes comprometidos.

RECOMENDACIONES DE DEFENSA

  • Verifique siempre los nombres de dominio cuidadosamente antes de descargar software; busque sustituciones sutiles de caracteres y URL no coincidentes.
  • Prefiera sitios de proveedores oficiales o tiendas de aplicaciones verificadas en lugar de descargas de resultados de búsqueda.
  • Utilice protección de puntos finales que inspeccione el comportamiento del instalador (no solo las firmas de archivos) y habilite la protección contra la carga lateral de DLL y el secuestro de COM.
  • Monitorear el uso inusual de la memoria del proceso y el comportamiento inesperado de desempaquetado/extracción de los componentes del instalador.

CONCLUSIÓN

Esta campaña muestra cómo los atacantes combinan la manipulación SEO, dominios similares, redirección multietapa y una sofisticada evasión basada en DLL para distribuir malware de la familia Gh0st-RAT a usuarios de habla china. La combinación de binarios legítimos y cargas útiles ocultas hace esencial la vigilancia: verificar las fuentes, examinar los dominios y utilizar defensas que analicen el comportamiento en tiempo de ejecución y la reputación de los archivos.

Tendencias

Mas Visto

Cargando...