Скачали DeepSeek с левого сайта? Sainbox RAT уже 72 часа мониторит ваши пароли

Китайская хакерская группа Silver Fox, известная также под именем Void Arachne, вновь оказалась в центре внимания специалистов по информационной безопасности. По данным компании Netskope, зафиксирована новая вредоносная кампания, в рамках которой злоумышленники создают поддельные сайты популярных программ, включая WPS Office, Sogou и DeepSeek, чтобы заразить компьютеры пользователей шпионским ПО.

Как отмечается, фальшивые веб-ресурсы, среди которых обнаружен домен «wpsice[.]com», маскируются под официальные страницы известных приложений. Основной удар направлен на китаеязычную аудиторию — это подтверждает наличие на сайтах MSI-установщиков, выполненных исключительно на китайском языке.

Через эти вредоносные установщики на устройства загружается набор инструментов, включающий троян Sainbox RAT — модифицированную версию широко известного Gh0st RAT — а также скрытый драйвер на базе открытого проекта Hidden, предназначенный для маскировки следов присутствия вредоносного кода.

Специалисты Netskope подчёркивают, что такой подход позволяет злоумышленникам эффективно управлять заражёнными системами и скрывать признаки атаки без необходимости разрабатывать собственные сложные инструменты. Использование готовых решений вроде Hidden упрощает задачу, сохраняя высокий уровень незаметности.

В рамках текущей кампании злоумышленники применяют методику подмены легитимных библиотек — DLL Sideloading . Загружаемый через сайт установщик запускает легитимный исполняемый файл под названием «shine.exe», который, в свою очередь, инициирует выполнение модифицированной библиотеки «libcef.dll». Эта библиотека извлекает и активирует вредоносный код, спрятанный внутри текстового файла «1.txt», находящегося в составе инсталлятора.

Итогом является загрузка дополнительной DLL — именно она обеспечивает запуск Sainbox RAT и скрытного драйвера. Этот драйвер эффективно маскирует активность трояна, скрывая процессы и ключи реестра, связанные с вредоносным ПО.

Примечательно, что Silver Fox не впервые прибегает к такой тактике. Летом 2024 года специалисты eSentire зафиксировали аналогичную кампанию, когда через поддельные сайты браузера Google Chrome распространялся Gh0st RAT. А в феврале текущего года компания Morphisec обнаружила ещё одну атаку той же группы — тогда мошенники использовали фальшивые сайты, рекламирующие браузер, чтобы заразить пользователей другой модификацией Gh0st RAT — известной под названием ValleyRAT (или Winos 4.0).

По данным Proofpoint, ValleyRAT впервые был замечен осенью 2023 года и применялся преимущественно против китаеязычных пользователей. Тогда же распространялись и другие инструменты, включая Sainbox RAT и Purple Fox .

Эксперты предупреждают, что использование модифицированных версий известных троянов и открытых руткитов позволяет злоумышленникам не только обойти базовые меры защиты, но и минимизировать затраты на разработку новых инструментов. Такая тактика делает кампании Silver Fox особенно опасными, учитывая их целенаправленную ориентацию на конкретные языковые и региональные аудитории.