Исследователи из Fortinet FortiGuard Labs и Zscaler выявили сложные кампании SEO-подмены, нацеленные на китайскоязычных пользователей. Злоумышленники регистрируют похожие на легитимные домены и используют SEO-плагины для обмана пользователей, ищущих популярные приложения, такие как DeepL, Chrome, Signal и другие. Злоумышленники заманивают жертв на веб-сайты с поддельным программным обеспечением.
Вредоносные методики
Эксперты обнаружили цепочку атак, управляемую скриптом
Заметной чертой кампании является включение ранее недокументированного RAT под названием kkRAT, который имеет сходства с вредоносным ПО семейства Gh0stRAT. kkRAT использует сжатые и зашифрованные сетевые коммуникации и поддерживает замену адресов криптокошельков. Это ПО также может использоваться для внедрения инструментов удаленного мониторинга, таких как Sunlogin и GotoHTTP.
Способы уклонения и распространения
Анализ злонамеренных файлов показал, что установочные файлы запрашивают административные права, выполняют проверки на наличие песочниц и виртуальных машин, временно отключают сетевые адаптеры для обхода антивирусных программ, применяют технику BYOVD для нейтрализации защитного ПО. Целевая аудитория включает пользователей, использующих
Атака также связана с созданием запланированных задач для завершения процессов антивирусов при входе в систему и модификацией записей реестра для отключения сетевых проверок. Установщики создают ярлыки, которые загружают исполняемые файлы и вредоносные DLL. Финальные нагрузки, например kkRAT, загружаются из удаленных источников и позволяют злоумышленникам осуществлять захват экранов, симуляцию ввода, манипуляцию буфером обмена и управление рабочим столом.
Важной рекомендацией для защиты от таких угроз является внимательная проверка доменных имен, избегание загрузки файлов из подозрительных источников и приоритизация обнаружения подобных атак.
