Usuários que falam chinês estão sendo alvo de uma campanha de SEO poisoning que usa sites falsos de software para distribuir malware.
De acordo com Pei Han Liao, pesquisador do Fortinet FortiGuard Labs, “os atacantes manipularam rankings de busca utilizando plugins de SEO e registraram domínios que imitam de forma muito próxima sites legítimos de software.” Com substituições sutis de caracteres e linguagem convincente, eles enganam as vítimas, direcionando-as a páginas clonadas para baixar malware.
A atividade, descoberta pela Fortinet em agosto de 2025, espalha malwares das famílias HiddenGh0st e Winos (também conhecida como ValleyRAT), variantes de um trojan de acesso remoto chamado Gh0st RAT.
O uso do Winos é atribuído a um grupo de cibercriminosos chamado Silver Fox — também conhecido como SwimSnake, The Great Thief of Valley (ou Valley Thief), UTG-Q-1000 e Void Arachne — ativo desde pelo menos 2022.
Na cadeia de ataque documentada pela Fortinet, usuários que buscam ferramentas populares como DeepL Translate, Google Chrome, Signal, Telegram, WhatsApp e WPS Office no Google são redirecionados para sites falsos que entregam o malware por meio de instaladores trojanizados.
Esses sites contam com um script chamado nice.js, que controla o processo de entrega do malware.
Ele segue uma sequência de chamadas a links que retornam dados em JSON e, por meio de redirecionamentos, aponta para a URL final do instalador malicioso.
Dentro do instalador está uma DLL maliciosa (“EnumW.dll”) que realiza várias verificações anti-análise para evitar detecção.
Entre suas ações está extrair outra DLL (“vstdlib.dll”), projetada para sobrecarregar ferramentas de análise, aumentando o consumo de memória e diminuindo a performance dos sistemas de defesa.
A segunda DLL desempacota e executa o payload principal, mas antes verifica se o antivírus 360 Total Security está presente no sistema.
Caso positivo, usa a técnica TypeLib COM hijacking para garantir persistência e iniciar um executável do Windows chamado “insalivation.exe”.
Se o antivírus não estiver instalado, a persistência é assegurada pela criação de um atalho no Windows que executa o mesmo programa.
O objetivo final da infecção é carregar uma DLL chamada “AIDE.dll”, que ativa três funções fundamentais:
1.Comando e Controle (C2), para comunicação criptografada com um servidor remoto.
2.Heartbeat, que coleta informações do sistema, dados da vítima e checa a presença de certos produtos de segurança.
3.Monitoramento, para confirmar persistência, acompanhar atividades do usuário e enviar sinalizações ao servidor C2.
O módulo C2 também pode baixar plugins adicionais, registrar pressionamentos de teclas e dados do clipboard e sequestrar carteiras de criptomoedas, especialmente as que usam Ethereum e Tether.
Certos plugins monitoram a tela da vítima, já identificados como parte do framework Winos.
Segundo a Fortinet, “os instaladores continham tanto o aplicativo legítimo quanto o payload malicioso, dificultando que usuários percebessem a infecção.” Até resultados de busca altamente ranqueados foram explorados, ressaltando a importância de verificar cuidadosamente os domínios antes de baixar qualquer software.
Paralelamente, a Zscaler ThreatLabz identificou outra campanha contra usuários chineses, ativa desde maio de 2025, que distribui um malware antes desconhecido chamado kkRAT, além do Winos e FatalRAT.
Muhammed Irfan V A, pesquisador da Zscaler, explica que “o kkRAT compartilha semelhanças de código com Gh0st RAT e Big Bad Wolf (大灰狼), um RAT comumente usado por cibercriminosos baseados na China.”
O kkRAT utiliza um protocolo de comunicação que lembra o Gh0st RAT, adicionando uma camada extra de criptografia após a compressão dos dados.
Entre seus recursos estão manipulação do clipboard para substituir endereços de criptomoedas e deployment de ferramentas de monitoramento remoto como Sunlogin e GotoHTTP.
Assim como na campanha anterior, o ataque usa páginas falsas que simulam instaladores de software popular, como DingTalk, hospedadas em GitHub pages.
Essa estratégia aproveita a confiança na plataforma legítima para distribuir malware.
O perfil do GitHub usado para isso já foi desativado.
Após o lançamento do instalador, há verificações para identificar ambientes sandbox e máquinas virtuais, além de attempts para contornar softwares de segurança.
O malware também solicita privilégios de administrador, que, se concedidos, permitem desabilitar temporariamente todos os adaptadores de rede, comprometendo o funcionamento dos antivírus.
Outro aspecto relevante é o uso da técnica Bring Your Own Vulnerable Driver (BYOVD), que desarma antivírus ao reutilizar código do projeto open-source RealBlindingEDR.
O malware foca em cinco soluções específicas:
- 360 Internet Security suite
- 360 Total Security
- HeroBravo System Diagnostics suite
- Kingsoft Internet Security
- QQ电脑管家 (QQ PC Manager)
Após encerrar os processos relacionados a esses antivírus, o malware cria uma tarefa agendada que é executada com privilégios SYSTEM para rodar um script de lote.
Este script elimina automaticamente esses processos cada vez que o usuário inicia a máquina.
Também há modificações no Registro do Windows visando desabilitar verificações de rede do 360 Total Security.
Com essas ações concluídas, o malware reativa os adaptadores de rede para restaurar a conectividade.
O instalador tem como função principal executar um shellcode que carrega outro arquivo obfuscado chamado “2025.bin” a partir de uma URL embutida.
Este shellcode atua como downloader de um artefato chamado “output.log”, que consulta duas URLs para baixar dois arquivos ZIP distintos:
- trx38.zip: contém um executável legítimo e uma DLL maliciosa que será carregada via DLL side-loading.
- p.zip: inclui um arquivo chamado longlq.cl, que guarda o payload final criptografado.
Conforme a Zscaler, “o malware cria um atalho para o executável legítimo extraído de trx38.zip e o adiciona à pasta de inicialização para garantir persistência.
Ele executa o programa legítimo para realizar o side-loading da DLL maliciosa, que descriptografa e executa o payload final a partir de longlq.cl.” O payload varia dependendo do conteúdo do segundo arquivo ZIP.
Um dos três payloads entregues é o kkRAT.
Depois de estabelecer conexão com o servidor C2, o malware realiza um mapeamento da máquina infectada e obtém plugins para tarefas diversas, como:
- Captura de tela e simulação de ações do teclado e mouse;
- Modificação de dados do clipboard;
- Ativação de recursos de desktop remoto, incluindo abertura de navegadores e encerramento de processos;
- Execução remota de comandos via shell;
- Gerenciamento de processos e conexões de rede;
- Listagem e desinstalação de softwares instalados;
- Enumerar chaves de inicialização automática no Registro;
- Funcionamento como proxy usando o protocolo SOCKS5 para redirecionar tráfego.
Além dos plugins, o kkRAT suporta inúmeros comandos que ativam funcionalidades como substituição de endereços de carteiras de criptomoedas copiados para o clipboard (clipper), instalação das ferramentas RMM Sunlogin e GotoHTTP, estabelecimento de persistência e limpeza de dados de navegadores como 360 Speed Browser, Google Chrome, Internet Explorer, Firefox, QQ Browser, Sogou Explorer, Skye e Telegram.
A Zscaler destaca que “os comandos e plugins do kkRAT possibilitam sequestro do clipboard para trocar endereços de criptomoedas, instalação de ferramentas de gerenciamento remoto e passagem de tráfego pela rede, permitindo burlar firewalls e VPNs.”
Essas campanhas evidenciam uma sofisticada movimentação focada em usuários de língua chinesa e que exploram desde técnicas avançadas de SEO poisoning até abuso de plataformas confiáveis para disseminar uma tríade de malwares com capacidades extensas de espionagem, controle remoto e roubo de ativos digitais.
A recomendação é redobrar o cuidado ao baixar softwares, verificar os domínios e manter soluções de segurança atualizadas para detectar e mitigar essas ameaças que continuam evoluindo nas sombras da internet.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...