Современный кибермир постоянно сталкивается с новыми вызовами и угрозами, среди которых особое место занимает деятельность киберпреступных группировок, маскирующих свои вредоносные программы под привычное и распространённое программное обеспечение. Одна из таких известных группировок — Silver Fox, также известная как Void Arachne, деятельность которой привлекла внимание экспертов в сфере информационной безопасности из-за её изощренного подхода и постоянного развития тактик заражения. Недавние исследования дали понять, что Silver Fox распространяет опасные программы удаленного доступа (RAT) и руткиты, маскируя их под легитимные программы, такие как WPS Office, Sogou и DeepSeek. При этом злоумышленники используют фальшивые сайты, которые выглядят как официальные источники раздачи популярного софта, что способствует социальной инженерии и повышает доверие потенциальных жертв. Особенностью кампании является использование вредоносных инсталляторов формата MSI на китайском языке, что указывает на целевую аудиторию — пользователей, говорящих на китайском.
Такие инсталляторы, согласно данным Netskope Threat Labs, запускают легитимный исполняемый файл shine.exe, который в свою очередь загружает вредоносную библиотеку DLL libcef.dll. Специалисты отметили, что в этой DLL применена техника side-loading, позволяющая обойти традиционные методы обнаружения вредоносного кода. Главной задачей libcef.
dll является извлечение и запуск шеллкода из текстового файла 1.txt, содержащегося в инсталляторе. Это приводит к выполнению основной нагрузки — трояна удаленного доступа Sainbox, являющегося вариантом известного Gh0st RAT. Троян предоставляет злоумышленникам широкие возможности для контроля зараженного устройства, включая загрузку дополнительных вредоносных компонентов, сбор конфиденциальных данных и завершение операций со стороны жертвы практически незаметно. Помимо Sainbox, в рамках кампании используется открытый руткит Hidden.
Этот руткит предоставляет киберпреступникам мощные инструменты для сокрытия своих действий на заражённых хостах. Скрытие процессов, файлов и ключей реестра продумано до мелочей: руткит применяет мини-фильтр и обратные вызовы ядра Windows, что значительно затрудняет выявление вредоносной активности даже опытными специалистами по кибербезопасности. Механизм защиты, используемый Hidden, позволяет ему не только утаить присутствие вредоносного ПО, но и защитить самого себя и определённые процессы от удаления и обнаружения. Управление руткитом осуществляется через интерфейс IOCTL, предоставляющий злоумышленникам удобный способ контроля. В целом, использование Silver Fox комплекта из коммерческого RAT и опенсорсного руткита — это продвинутая тактика для достижения максимальной скрытности и устойчивости вредоносной кампании при минимуме собственных разработок.
Этот подход демонстрирует высокую эффективность и снижает затраты злоумышленников на создание и поддержку вредоносных инструментов. Silver Fox не новичок в сфере атак на китайскоязычную аудиторию пользователей Windows. Весной 2024 года была выявлена другая кампания, распространявшая Gh0st RAT под предлогом загрузки Google Chrome. Позднее появилась новая волна заражений с использованием ValleyRAT (также известного как Winos 4.0) в дополнение к другим вариантам Gh0st RAT.
Это свидетельствует о постоянном интересе группы к контролю над компьютерами и сетями китайских пользователей, а также об эволюции и усложнении их методов. Вредоносные MSI-инсталляторы, распространяемые через фишинговые сайты, рассчитаны на то, чтобы обмануть даже внимательных пользователей, предлагая им проверить и установить популярный софт. Как результат, заражённые устройства оказываются под контролем злоумышленников, что представляет опасность как для индивидуальных пользователей, так и для организаций, в которых работают пострадавшие. Вопросы по защите от таких угроз требует комплексного подхода. Обновление антивирусных баз, использование современных решений по выявлению аномалий и обучение пользователей критическому мышлению при работе с подозрительными сайтами и программами — основные меры по снижению риска заражения.
Также необходимо учитывать, что руткиты вроде Hidden не только скрывают вредоносные процессы, но и могут препятствовать удалению вредоносного ПО, что требует привлечения опытных специалистов и применения специализированных инструментов анализа и очистки систем. Профессионалы в сфере информационной безопасности продолжают отслеживать активности Silver Fox и сообщают о новых способах оценки ущерба, выявления и нейтрализации вредоносных программ. Публичные отчёты и источники, такие как Netskope, eSentire и Morphisec, предоставляют ценные данные и рекомендации для самых разных аудиторий — от домашних пользователей до крупных компаний. Повышенное внимание к безопасности, своевременное обновление программного обеспечения и осторожность при скачивании программ — главные факторы, способные защитить от проникновения таких сложных угроз, как кампании Silver Fox. Эта ситуация наглядно демонстрирует, насколько важно не только использовать технические средства защиты, но и сохранять бдительность и правильные привычки работы с компьютером.
Вредоносное ПО становится все более изощрённым и замаскированным, и киберпреступники неустанно совершенствуют свои методы. Изучение подобных кампаний и своевременное информирование об угрозах помогают создать крепкий первый рубеж обороны, способный минимизировать потери и предотвратить масштабные инциденты. Silver Fox – яркий пример того, как преступники используют легитимные ресурсы и технологии в своих интересах, заставляя пользователей быть всегда начеку.
![Optimizing typography of insect labels using free fonts and free software (2012) [pdf]](/images/23A55699-B403-4AC5-913B-F36A10DD03EB)
