Os atores por trás da família de malware conhecida como Winos 4.0 (também chamada ValleyRAT) ampliaram seu alcance da China e Taiwan para o Japão e a Malásia, agora utilizando outro trojan de acesso remoto (RAT) identificado como HoldingHands RAT (também Gh0stBins).
Segundo Pei Han Liao, pesquisador do FortiGuard Labs da Fortinet, em relatório compartilhado com o The Hacker News, a campanha se valeu de phishing via e-mails contendo PDFs com links maliciosos embutidos.
“Esses arquivos se disfarçavam como documentos oficiais do Ministério das Finanças e traziam múltiplos links, além daquele que entregava o Winos 4.0”, explicou.
O Winos 4.0 costuma se espalhar por meio de phishing e ataques de SEO poisoning, direcionando vítimas para sites falsos que imitam softwares populares como Google Chrome, Telegram, Youdao, Sogou AI, WPS Office e DeepSeek, entre outros.
Esse malware está ligado principalmente ao grupo chinês conhecido como Silver Fox, também monitorado como SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 e Void Arachne.
Em abril de 2025, a Check Point relacionou o Silver Fox ao uso de um driver vulnerável desconhecido associado ao WatchDog Anti-malware, em um ataque BYOVD (Bring Your Own Vulnerable Driver) destinado a desabilitar softwares de segurança em máquinas comprometidas.
Pouco depois, a Fortinet revelou outra campanha ocorrida em agosto do mesmo ano, que usava SEO poisoning para distribuir o malware HiddenGh0st e módulos relacionados ao Winos.
O grupo Silver Fox também teria atacado Taiwan e Japão usando o HoldingHands RAT, conforme documentado pela Fortinet e pelo pesquisador somedieyoungZZ em junho.
Para isso, os invasores enviaram e-mails de phishing com PDFs manipulados que ativavam uma infecção em múltiplas etapas, culminando na instalação do trojan.
Vale destacar que tanto o Winos 4.0 quanto o HoldingHands RAT são inspirados no Gh0st RAT, um malware de acesso remoto cujo código-fonte foi vazado em 2008 e que, desde então, vem sendo amplamente usado por diferentes grupos de hackers chineses.
A Fortinet identificou documentos PDF que se passam por rascunhos de regulamentação tributária de Taiwan, contendo um link para uma página em japonês (“twsww[.]xin/download[.]html”).
Essa página induz os alvos a baixarem um arquivo ZIP, responsável pela entrega do HoldingHands RAT.
Investigações adicionais revelaram ataques recentes que visam a China com documentos Microsoft Excel com temática fiscal usados como isca para disseminar o Winos, alguns deles datados desde março de 2024.
Mais recentemente, campanhas de phishing focaram a Malásia, utilizando páginas falsas para enganar vítimas e forçar o download do HoldingHands RAT.
A infecção começa com um arquivo executável que alega ser um documento de auditoria fiscal.
Ele carrega uma DLL maliciosa que atua como loader para um shellcode (“sw.dat”).
Esse shellcode realiza checagens contra máquinas virtuais (anti-VM), lista processos ativos associados a antivírus como Avast, Norton e Kaspersky, finaliza esses processos, eleva privilégios e encerra o Agendador de Tarefas (Task Scheduler).
Além disso, o malware deixa vários arquivos na pasta C:\Windows\System32, entre eles:
- svchost.ini: contém o endereço relativo virtual (RVA) da função VirtualAlloc
- TimeBrokerClient.dll: DLL legítima renomeada para BrokerClientCallback.dll
- msvchost.dat: contém o shellcode criptografado
- system.dat: contém o payload criptografado
- wkscli.dll: uma DLL não utilizada
O Task Scheduler é um serviço do Windows hospedado pelo svchost.exe que controla quando certos processos são executados.
Por padrão, seu mecanismo de recuperação reinicia o serviço um minuto após uma falha.
Ao ser reiniciado, o svchost.exe carrega o TimeBrokerClient.dll malicioso, que, em vez de executar um processo diretamente, dificulta a detecção baseada em comportamento.
A principal função do TimeBrokerClient.dll é alocar memória para o shellcode dentro do msvchost.dat, usando a função VirtualAlloc() e o valor RVA definido em svchost.ini.
Em seguida, o shellcode descriptografa o payload em system.dat para carregar o HoldingHands.
O HoldingHands se conecta a um servidor remoto, envia informações do host e mantém a conexão ativa enviando “heartbeats” a cada 60 segundos.
Ele também recebe e executa comandos dos atacantes, que podem capturar dados sensíveis, executar comandos arbitrários e baixar payloads adicionais.
Uma funcionalidade recente permite atualizar o endereço do servidor de comando e controle (C2) via registro do Windows, facilitando o comando remoto.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...