Negli ultimi mesi, una sofisticata campagna di SEO poisoning ha preso di mira utenti di lingua cinese, sfruttando tecniche avanzate per distribuire malware tramite siti web falsi che imitano software popolari. Gli attaccanti manipolano i risultati dei motori di ricerca utilizzando plugin SEO e registrando domini simili a quelli ufficiali, inducendo così gli utenti a scaricare installer compromessi.

Varianti di HiddenGh0st e Winos

Le analisi hanno evidenziato la diffusione di varianti di HiddenGh0st e Winos, entrambe remote access trojan (RAT) derivate dal noto Gh0st RAT. I ricercatori hanno osservato che i criminali informatici puntano su software molto ricercati come DeepL, Chrome, Signal, Telegram, WhatsApp e WPS Office. Quando l’utente clicca su un risultato malevolo, viene reindirizzato verso una catena di download orchestrata da uno script che porta, attraverso vari passaggi, all’installer infetto.

All’interno degli installer, oltre all’applicazione legittima, viene inserito un payload dannoso che elude le analisi tecniche utilizzando DLL malevoli e tecniche anti-debug. Un aspetto critico della campagna è la capacità del malware di riconoscere la presenza di antivirus come 360 Total Security: se rilevato, viene impiegata la tecnica di TypeLib COM hijacking per ottenere persistenza e lanciare un eseguibile dannoso. In assenza dell’antivirus, la persistenza viene assicurata tramite la creazione di shortcut all’avvio di Windows. Il payload è progettato per svolgere funzioni di controllo remoto, raccolta dati, monitoraggio delle attività e, soprattutto, per attacchi contro wallet di criptovalute come Ethereum e Tether, intercettando indirizzi copiati negli appunti.

Nuova campagna con kkRAT, Winos e FatalRAT

Parallelamente, è stata individuata una campagna separata che distribuisce un nuovo malware denominato kkRAT, affiancato da Winos e FatalRAT. kkRAT condivide molte caratteristiche con Gh0st RAT e implementa una comunicazione cifrata con il server di comando e controllo, insieme a funzionalità avanzate di clipboard hijacking e installazione di strumenti di controllo remoto come Sunlogin e GotoHTTP.

Una particolarità della distribuzione di kkRAT è l’uso di GitHub Pages come piattaforma di hosting per i siti di phishing, sfruttando così la reputazione di GitHub per aggirare i controlli di sicurezza. L’installer esegue controlli per evitare sandbox e macchine virtuali, chiede privilegi amministrativi e può disabilitare temporaneamente gli adattatori di rete per interferire con gli antivirus. Utilizza inoltre la tecnica BYOVD (Bring Your Own Vulnerable Driver) per neutralizzare i software di sicurezza più diffusi, assicurando la persistenza tramite task pianificati e modifiche al registro di Windows.

Infine, i moduli scaricati permettono a kkRAT di eseguire operazioni di controllo totale della macchina vittima, dalla cattura dello schermo all’esecuzione di comandi remoti, fino alla gestione dei software installati e delle connessioni di rete.