Pesquisadores de cibersegurança revelaram uma campanha de malware que usa instaladores de software falsificados, se passando por ferramentas populares como LetsVPN e QQ Browser, para entregar o framework Winos 4.0.
A campanha, detectada inicialmente pela Rapid7 em fevereiro de 2025, envolve o uso de um loader multi-estágio, residente na memória, chamado Catena.
"Catena utiliza shellcode embutido e lógica de troca de configuração para estabelecer cargas como Winos 4.0 inteiramente na memória, evitando as ferramentas tradicionais de antivirus," disseram os pesquisadores de segurança Anna Širokova e Ivan Feigl.
Uma vez instalado, ele se conecta silenciosamente a servidores controlados pelo atacante – na maioria hospedados em Hong Kong – para receber instruções de acompanhamento ou malware adicional.
Os ataques, como aqueles que implantaram o Winos 4.0 no passado, parecem se concentrar especificamente em ambientes de língua chinesa, com a empresa de cibersegurança destacando o "planejamento cuidadoso e de longo prazo" por um ator de ameaças muito capaz.
Winos 4.0 (também conhecido como ValleyRAT) foi documentado publicamente pela primeira vez pela Trend Micro em junho de 2024 como usado em ataques direcionados a usuários de língua chinesa por meio de arquivos Windows Installer (MSI) maliciosos para aplicativos VPN.
A atividade foi atribuída a um cluster de ameaças que ele rastreia como Void Arachne, que também é referido como Silver Fox.
Campanhas subsequentes distribuindo o malware aproveitaram aplicativos relacionados a jogos como ferramentas de instalação, aceleradores de velocidade e utilitários de otimização como iscas para enganar os usuários a instalá-lo.
Outra onda de ataques detalhada em fevereiro de 2025 visou entidades em Taiwan por meio de emails de phishing que supostamente eram do National Taxation Bureau.
Construído sobre as fundações de um conhecido trojan de acesso remoto chamado Gh0st RAT, o Winos 4.0 é um framework malicioso avançado escrito em C++ que utiliza um sistema baseado em plugins para coletar dados, fornecer acesso remoto via shell e lançar ataques de negação de serviço distribuídos (DDoS).
Fluxo de Infecção Baseado no QQBrowser Observado em Fevereiro de 2025 A Rapid7 disse que todos os artefatos sinalizados em fevereiro de 2025 confiaram em instaladores NSIS empacotados com aplicativos isca assinados, shellcode embutido em arquivos ".ini", e injeção de DLL refletiva para manter de forma oculta a persistência nos hosts infectados e evitar detecção.
Toda a cadeia de infecção recebeu o codinome Catena.
"A campanha tem sido ativa ao longo de 2025, mostrando uma cadeia de infecção consistente com alguns ajustes táticos - apontando para um ator de ameaça capaz e adaptativo", disseram os pesquisadores.
O ponto de partida é um instalador NSIS trojanizado que se passa por um instalador para o QQ Browser, um navegador web baseado em Chromium desenvolvido pela Tencent, projetado para entregar o Winos 4.0 usando o Catena.
O malware se comunica com infraestrutura de comando e controle (C2) codificada fixamente por meio da porta TCP 18856 e da porta HTTPS 443.
Do Instalador LetsVPN para Winos 4.0 em Abril de 2025 A persistência no host é alcançada registrando tarefas agendadas que são executadas semanas após o comprometimento inicial.
Embora o malware apresente uma verificação explícita para procurar configurações de idioma chinês no sistema, ele ainda prossegue com a execução mesmo que não seja o caso.
Isso indica que é um recurso inacabado e algo que se espera ser implementado em iterações subsequentes do malware.
Dito isso, a Rapid7 disse que identificou em abril de 2025 uma "mudança tática" que não apenas trocou alguns dos elementos da cadeia de execução do Catena, mas também incorporou recursos para evitar a detecção por antivírus.
Na sequência de ataque reformulada, o instalador NSIS se disfarça como um arquivo de configuração para o LetsVPN e executa um comando PowerShell que adiciona exclusões do Microsoft Defender para todos os drives (C:\ a Z:\).
Em seguida, ele solta cargas adicionais, incluindo um executável que tira um instantâneo dos processos em execução e verifica a existência de processos relacionados ao 360 Total Security, um produto antivírus desenvolvido pelo fornecedor chinês Qihoo 360.
O binário é assinado com um certificado expirado emitido pela VeriSign e supostamente pertence à Tencent Technology (Shenzhen).
Ele foi válido de 11/10/2018 a 02/02/2020.
A principal responsabilidade do executável é carregar refletivamente um arquivo DLL que, por sua vez, se conecta a um servidor C2 ("134.122.204[.]11:18852" ou "103.46.185[.]44:443") para baixar e executar o Winos 4.0.
"Esta campanha mostra uma operação de malware bem organizada, focada regionalmente, usando instaladores NSIS trojanizados para soltar silenciosamente o stager Winos 4.0," disseram os pesquisadores.
Ela se baseia fortemente em cargas residentes na memória, carregamento de DLL refletivo e software isca assinado com certificados legítimos para evitar alarmes.
Sobreposições de infraestrutura e foco baseado em linguagem insinuam laços com o APT Silver Fox, com atividades provavelmente direcionadas a ambientes de língua chinesa.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...