0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Получите, распишитесь. Как поддельное письмо о налогах открывает дверь шпионам

leer en español

FortiGuard Labs Silver Fox Winos 4.0 ValleyRat Тайвань фишинг BYOVD
Получите, распишитесь. Как поддельное письмо о налогах открывает дверь шпионам
FortiGuard Labs Silver Fox Winos 4.0 ValleyRat Тайвань фишинг BYOVD

Злоумышленники придумали, как пробраться внутрь без лишнего шума.

image

В Тайване зафиксировали серию целевых атак с использованием обновлённой версии вредоносного инструмента Winos 4.0, также известного как ValleyRat. Кампании строятся вокруг фишинговых писем и поддельных документов, которые маскируются под официальные уведомления о налоговых проверках и электронных счетах. По данным специалистов подразделения FortiGuard Labs, атаки отличаются продуманной инфраструктурой и активным применением методов обхода защитных механизмов Windows.

Злоумышленники рассылают архивы с файлами, оформленными как налоговые документы. Внутри находится ярлык LNK и приманка в виде безобидного файла. После запуска ярлык вызывает системный интерпретатор команд и загружает следующий этап атаки с внешнего домена. Для маскировки используется переименование штатной утилиты curl.exe, что помогает обойти простую фильтрацию по имени файла. Загруженный установщик извлекает скрытый исполняемый компонент и размещает его в каталоге ProgramData, закладывая основу для дальнейшей загрузки Winos 4.0 и драйвера, который помогает скрыть активность.

Во второй волне атак применили иной подход. Вместо ярлыков распространяются архивы с легитимным приложением и вредоносной библиотекой, которая подгружается через механизм DLL sideloading. Ссылки в письмах имитируют официальные адреса налоговых органов Тайваня, однако ведут на облачные хранилища в материковом Китае. Анализ служебных путей внутри вредоносной библиотеки выявил упоминание проекта «大馬專案(二)», что указывает на структурированную организацию работы атакующей группы.

После закрепления в системе Winos 4.0 проверяет наличие прав администратора и при необходимости обходит контроль учётных записей через комбинацию вызовов службы AppInfo и перехвата Debug Object. Затем используется техника Bring Your Own Vulnerable Driver. В систему загружается подписанный драйвер wsftprm.sys, уязвимости которого позволяют получить привилегии уровня ядра и отключить защитные средства.

Вредоносный модуль анализирует запущенные процессы и завершает работу антивирусов и систем защиты, включая Microsoft Defender, решения Trend Micro, Symantec, 360 и другие. Адрес управляющего сервера скрывается в коде в виде строки Base64 и после расшифровки устанавливается соединение с узлом 47.76.86.151. Дополнительные плагины, отвечающие за управление файлами, удалённый доступ и захват экрана, сохраняются напрямую в реестре и работают в памяти, не создавая заметных файлов на диске.

Анализ регистрационных данных доменов показал связь с именем Ли Цзицян и адресом электронной почты, связанным с университетским доменом в Китае. Метаданные вредоносных файлов также содержат идентификатор машины, ранее фигурировавший в активности группировки Silver Fox летом 2025 года. Совпадение инфраструктуры, методов загрузки драйвера и управляющего сервера позволяет связать текущие кампании с тем же подразделением Silver Fox.

Специалисты считают, что атаки будут продолжаться и дальше. Группа активно меняет домены и способы доставки, делая ставку на локализованные приманки и исполнение модулей в памяти. Такая тактика усложняет обнаружение и повышает риск компрометации корпоративных сетей.