Фахівці з кібербезпеки виявили нову хвилю атак групи Silver Fox (відомої також як Void Arachne), яка використовує підроблені веб-ресурси для поширення небезпечного шкідливого програмного забезпечення. Зловмисники створюють фіктивні сайти, що імітують офіційні платформи для завантаження популярних додатків, зокрема WPS Office, Sogou та DeepSeek.
Механізм атаки та цільова аудиторія
За даними Netskope Threat Labs, хакери реєструють домени, максимально схожі на оригінальні ресурси розробників. Зокрема, був виявлений сайт wpsice[.]com, який поширює шкідливі MSI-інсталятори китайською мовою. Це свідчить про те, що основною метою кампанії є користувачі з Китаю та інших китайськомовних регіонів.
Шкідливе навантаження включає кілька компонентів: троян віддаленого доступу Sainbox RAT, який є модифікацією відомого Gh0st RAT, а також варіант відкритого руткіта Hidden. Така комбінація забезпечує зловмисникам повний контроль над зараженими системами та можливість прихованої присутності в мережі жертви.
Історія активності угруповання Silver Fox
Ця кампанія не є першою в арсеналі Silver Fox. Влітку 2024 року спеціалісти компанії eSentire зафіксували аналогічну атаку, спрямовану на китайських користувачів Windows. Тоді хакери використовували підроблені сайти для завантаження Google Chrome, через які поширювали Gh0st RAT.
У лютому 2025 року аналітики Morphisec виявили ще одну кампанію угруповання з використанням фальшивих веб-ресурсів. В рамках цієї операції поширювалися ValleyRAT (Winos 4.0) та інші модифікації Gh0st RAT, що демонструє постійний розвиток і адаптацію тактик зловмисників.
Технічні деталі атаки
Шкідливі MSI-інсталятори, що завантажуються з підроблених сайтів, використовують складну схему зараження. Спочатку запускається легітимний виконуваний файл shine.exe, який потім завантажує шкідливу бібліотеку libcef.dll через техніку DLL side-loading. Ця методика дозволяє обійти багато систем захисту, оскільки використовує довірені процеси для виконання шкідливого коду.
Основне завдання завантаженої DLL полягає у витяганні та запуску шелкоду з текстового файлу 1.txt, який присутній в інсталяторі. Це призводить до активації основного корисного навантаження — трояна Sainbox RAT.
Можливості шкідливого ПЗ
У секції .data дослідженого корисного навантаження міститься додатковий PE-бінарник, який може бути виконаний залежно від конфігурації шкідливої програми. Вбудований файл являє собою драйвер руткіта, заснований на відкритому проекті Hidden.
Троян Sainbox володіє широкими можливостями для завантаження додаткових корисних навантажень та крадіжки конфіденційних даних. Руткіт Hidden надає зловмисникам комплексні функції для приховування процесів, пов’язаних зі шкідливим ПЗ, та ключів у реєстрі Windows на скомпрометованих хостах.
Методи приховування та захисту
Руткіт Hidden використовує передові техніки для забезпечення прихованості. Він застосовує міні-фільтри та зворотні виклики ядра для приховування процесів, файлів, а також ключів і значень реєстру. Крім того, Hidden може захищати себе та певні процеси від виявлення та видалення.
Особливістю цього руткіта є наявність користувацького інтерфейсу, доступ до якого здійснюється через IOCTL (Input/Output Control). Це дозволяє зловмисникам зручно керувати зараженими системами та налаштовувати параметри приховування.
Використання комбінації комерційних RAT та руткітів з відкритим вихідним кодом надає хакерам значні переваги. Як зазначають дослідники Netskope, такий підхід забезпечує зловмисникам необхідний контроль та прихованість без потреби створення власних складних інструментів з нуля. Користувачам рекомендується завантажувати програмне забезпечення виключно з офіційних сайтів розробників та використовувати актуальні рішення для захисту від шкідливих програм.
