Фахівці виявили нову шкідливу кампанію Silver Fox (вона ж Void Arachne), в якій використовуються фіктивні сайти. Ресурси нібито поширюють популярне ПЗ (WPS Office, Sogou і DeepSeek), але насправді використовуються для доставки Sainbox RAT і опенсорсного руткіта Hidden.

За даними Netskope Threat Labs, фішингові сайти (наприклад, wpsice[.]com) поширюють шкідливі інсталятори MSI китайською мовою, тобто метою цієї кампанії є носії китайської мови.

«Корисне навантаження шкідливого ПЗ містить Sainbox RAT, варіант Gh0st RAT і варіант опенсорсного руткіта Hidden з відкритим вихідним кодом», – кажуть дослідники.

Як повідомляють у Netskope, цього разу шкідливі MSI-інсталятори, завантажені з фальшивих сайтів, призначаються для запуску легітимного виконуваного файлу shine.exe, який завантажує шкідливу DLL libcef.dll, використовуючи техніку side-loading.

Основним завданням цієї DLL є витяг і запуск шелкоду з текстового файлу 1.txt, який є в інсталяторі, що в кінцевому підсумку призводить до виконання іншого корисного навантаження DLL – трояна віддаленого доступу Sainbox.

Вищезгаданий троян Sainbox має можливості для завантаження додаткових корисних навантажень і крадіжки даних, а Hidden надає зловмисникам цілу низку функцій для приховування пов’язаних зі шкідливим ПЗ процесів і ключів у реєстрі Windows на зламаних хостах.

Основною метою руткіта є приховування процесів, файлів, а також ключів і значень реєстру. Як пояснюють дослідники, для цього він використовує міні-фільтр, а також зворотні виклики ядра. Крім того, Hidden може захищати себе і певні процеси, а також містить UI, доступ до якого здійснюється за допомогою IOCTL.

«Використання варіацій комерційних RAT (таких як Gh0st RAT) і руткітів з відкритим вихідним кодом (таких як Hidden) надає зловмисникам контроль і скритність, не потребуючи при цьому великої кількості власних розробок», – кажуть у Netskope.