Chineessprekende gebruikers zijn het doelwit van een nog nooit eerder gezien cluster van dreigingsactiviteiten met de codenaam Ongeldig Arachne dat gebruik maakt van kwaadaardige Windows Installer-bestanden (MSI) voor virtuele particuliere netwerken (VPN's) om een command-and-control (C&C)-framework te leveren met de naam Winos 4.0.
“De campagne promoot ook gecompromitteerde MSI-bestanden die zijn ingebed met nudifiers en software die deepfake-pornografie genereert, evenals AI-stem- en gezichtstechnologieën”, aldus Trend Micro-onderzoekers Peter Girnus, Aliakbar Zahravi en Ahmed Mohamed Ibrahim in een technisch rapport dat vandaag is gepubliceerd.
“De campagne maakt gebruik van (zoekmachineoptimalisatie) vergiftigingstactieken en sociale media en berichtenplatforms om malware te verspreiden.”
Het cyberbeveiligingsbedrijf, dat de nieuwe groep bedreigingsactoren begin april 2024 ontdekte, zei dat de aanvallen reclame bevatten voor populaire software zoals Google Chrome, LetsVPN, QuickVPN en een Telegram-taalpakket voor de vereenvoudigde Chinese taal om Winos te distribueren. Alternatieve aanvalsketens maken gebruik van backdoor-installatieprogramma's die worden verspreid op Telegram-kanalen met een Chinees thema.
De links die via black hat SEO-tactieken naar voren komen, verwijzen naar een speciale infrastructuur die door de tegenstander is opgezet om de installatieprogramma's in de vorm van ZIP-archieven te organiseren. Voor aanvallen gericht op Telegram-kanalen worden de MSI-installatieprogramma's en ZIP-archieven rechtstreeks gehost op het berichtenplatform.
Het gebruik van een kwaadaardig Chinees taalpakket is niet in de laatste plaats interessant omdat het een enorm aanvalsoppervlak met zich meebrengt. Andere soorten software beweren mogelijkheden te bieden om deepfake-pornografische video's zonder wederzijds goedvinden te genereren voor gebruik bij sextortion-zwendel, AI-technologieën die kunnen worden gebruikt voor virtuele ontvoering, en tools voor stemverandering en gezichtsuitwisseling.
De installatieprogramma's zijn ontworpen om de firewallregels aan te passen om inkomend en uitgaand verkeer dat verband houdt met de malware op een toelatingslijst te zetten wanneer het is verbonden met openbare netwerken.
Het laat ook een lader achter die een tweede fase-payload in het geheugen decodeert en uitvoert, die vervolgens een Visual Basic Script (VBS) lanceert om persistentie op de host in te stellen en de uitvoering van een onbekend batchscript te activeren en het Winos 4.0 C&C-framework te leveren door middel van een stager die C&C-communicatie tot stand brengt met een externe server.
Winos 4.0, een implantaat geschreven in C++, is uitgerust voor het uitvoeren van bestandsbeheer, gedistribueerde denial of service (DDoS) met behulp van TCP/UDP/ICMP/HTTP, schijfzoeken, webcambediening, screenshot-opname, microfoonopname, keylogging en externe shell-toegang .
De complexiteit van de achterdeur wordt onderstreept door een op plug-ins gebaseerd systeem dat de bovengenoemde functies realiseert via een set van 23 speciale componenten die zijn samengesteld voor zowel 32- als 64-bits varianten. Het kan verder worden uitgebreid via externe plug-ins die door de bedreigingsactoren zelf worden geïntegreerd, afhankelijk van hun behoeften.
De kerncomponent van WinOS bevat ook methoden om de aanwezigheid van beveiligingssoftware in China te detecteren, naast het optreden als de belangrijkste orkestrator die verantwoordelijk is voor het laden van de plug-ins, het wissen van systeemlogboeken en het downloaden en uitvoeren van extra payloads vanaf een opgegeven URL.
“Internetconnectiviteit in de Volksrepubliek China is onderworpen aan strikte regelgeving door een combinatie van wetgevende maatregelen en technologische controles, gezamenlijk bekend als de Grote Firewall van China”, benadrukten de onderzoekers.
“Dankzij strikte controle door de overheid zijn de VPN-diensten en de publieke belangstelling voor deze technologie aanzienlijk toegenomen. Dit heeft op zijn beurt de belangstelling van dreigingsactoren vergroot om de toegenomen publieke belangstelling voor software die de Grote Firewall en online censuur kan ontwijken, te exploiteren.”
