Guilgo Blog

Notas de mi quehacer diario con las técnologias.

En los últimos días se ha observado una campaña de SEO poisoning dirigida a usuarios de habla china que suplanta páginas de descarga de aplicaciones conocidas (DeepL, Google Chrome, Signal, Telegram, WhatsApp, WPS Office). Los resultados manipulados en buscadores llevan a sitios fraudulentos con instaladores troyanizados que despliegan variantes de Gh0st RAT como HiddenGh0st y Winos/ValleyRAT.

Cadena de ataque (visión rápida)

  • Manipulación SEO y dominios lookalike → redirección a páginas falsas de software.
  • Orquestación con nice.js → varias respuestas JSON encadenadas hasta el instalador final.
  • El instalador incluye una DLL maliciosa (EnumW.dll) con anti-análisis (p. ej., extrae vstdlib.dll para inflar memoria y ralentizar herramientas).
  • Si detecta 360 Total Security, usa TypeLib COM hijacking para persistir y ejecutar insalivation.exe; si no, crea un acceso directo al mismo ejecutable.
  • Carga por sideloading AIDE.dll, que implementa:
    • C2 (canal cifrado con el servidor),
    • Heartbeat (inventario del sistema y enumeración de procesos AV),
    • Monitor (verifica persistencia, actividad del usuario y baliza al C2).
  • Capacidades observadas: descarga de plugins, keylogging, captura de pantalla/portapapeles, y robo de wallets (ETH/USDT).

Campaña paralela con kkRAT (GitHub Pages)

Otra investigación reciente describe una campaña que hospeda páginas de phishing en GitHub Pages para suplantar instaladores (p. ej., DingTalk) y emplea un enfoque BYOVD para desactivar antivirus/EDR locales (incluidos productos muy usados en China).
La cadena incluye descargas como 2025.binoutput.log y archivos ZIP:

  • trx38.zip (ejecutable legítimo + DLL maliciosa para DLL sideloading),
  • p.zip (contiene longlq.cl con el payload final cifrado).

El resultado es la ejecución de kkRAT, un RAT modular con plugins para toma de pantalla, simulación de teclado/ratón, gestión de procesos y conexiones, SOCKS5 proxy, persistencia, despliegue de Sunlogin/GotoHTTP, y clipper para sustituir direcciones de criptomonedas en el portapapeles.

Indicadores y nombres observados (parciales)

  • Scripts/archivos: nice.js, EnumW.dll, vstdlib.dll, AIDE.dll, insalivation.exe, 2025.bin, output.log, trx38.zip, p.zip, longlq.cl.
  • Técnicas: SEO poisoning, TypeLib COM hijacking, DLL sideloading, BYOVD (apoyado en código público de desarme de EDR), creación de tareas programadas con privilegios SYSTEM.

Nota: la campaña evoluciona; estos elementos son una selección representativa para concienciación y caza de amenazas.

Recomendaciones (rápidas)

  1. Descarga software solo desde dominios oficiales; desconfía de anuncios y primeros resultados “demasiado buenos”.
  2. Valida el dominio (homógrafos, guiones, TLD raros) y el hash del instalador cuando sea posible.
  3. Endurece el Application Control y restringe la ejecución en rutas de usuario (%AppData%, %Temp%).
  4. Bloquea DLL sideloading conocido en apps críticas y vigila cargas laterales inusuales.
  5. Supervisa eventos de creación de tareas programadas, modificación de registro y drivers vulnerables (BYOVD).
  6. En endpoints: activa EDR con memoria, reglas para clipper y exfil (portapapeles/teclado/pantalla).
  7. Forma a usuarios sobre phishing SEO y suplantación de instaladores.

Fuente: The Hacker News — HiddenGh0st, Winos and kkRAT Exploit SEO, GitHub Pages in Chinese Malware Attacks

avatar

Sysadmin, Autodidacta hecho así mismo por culpa de la curiosidad

FEATURED TAGS
amazon android apt-get bugs cpanel debian gaming gentoo gnu gnu/linux htc informatica informática juegos olimpicos kde kernel letsencrypt linux microsoft moviles mysql networking programación rasperrypi satélite seguridad seti ssl sysadmin tasker tecnologia tecnología ubuntu ubunutu varios vpn