Void Arachne a Nagy Fal mögött
A Trend Micro azonosított egy csoportot, amelyet Void Arachne-nak neveztek el. Ez a csoport a kínai nyelvű felhasználókat veszi célba rosszindulatú Windows Installer (MSI) fájlokkal egy nemrégiben indított kampányban. Ezek az MSI fájlok mesterséges intelligencia szoftverek és más népszerű szoftverek valós szoftver telepítőfájljait tartalmazzák, de rosszindulatú fájlokkal csomagolva. A kampány olyan kompromittált MSI-fájlokat népszerűsít, amelyekbe meztelenítő és deepfake pornográfiát generáló szoftvereket, valamint mesterséges intelligencia hang- és arctechnológiákat ágyaznak be.
A kampány SEO-mérgezési taktikákat, valamint közösségi média- és üzenetküldő platformokat használ a rosszindulatú szoftverek terjesztésére.
A kártevő a telepítési folyamat során Winos backdoor-t telepít, ami a rendszer teljes kompromittálódásához vezethet. A szigorú kínai kormányzati ellenőrzés miatt a VPN-szolgáltatások és a közvélemény érdeklődése e technológia iránt jelentősen megnőtt. Ebben a Void Arachne kampányban pedig megfigyelhettük, hogy a fenyegető szereplők hogyan használják ki a megnövekedett közérdeklődést a Nagy Tűzfal és az online cenzúra kijátszására alkalmas szoftverek iránt.
A támadás kártékony kódja a Winos 4.0 implantátum, amely C++ nyelven íródott, és a Windows platformot célozza. A Winos olyan funkciókkal rendelkezik, mint a fájlkezelés, a TCP/UDP/ ICMP/HTTP használatával történő elosztott szolgáltatásmegtagadás (DDoS), a teljes lemezkeresés, a webkamera vezérlése és a képernyőfelvétel. Ezenkívül számos funkciót támogat, beleértve a folyamatbefecskendezést és a mikrofonfelvételt, a rendszer- és szolgáltatáskezelést, a távoli shell-hozzáférést és a keylogging-funkciókat, tovább fokozva ezzel a fertőzött rendszer ellenőrzésére és felügyeletére való képességét.