محققان امنیت سایبری از کمپین بدافزاری جدیدی پرده برداشتهاند که با استفاده از نصبکنندههای جعلی نرمافزارهای محبوبی نظیر LetsVPN و QQ Browser، چارچوب بدافزاری Winos 4.0 را توزیع میکند.
این کمپین که توسط شرکت Rapid7 در فوریه 2025 شناسایی شد، از لودر چند مرحلهای مستقر در حافظه موسوم به Catena و با تمرکز بر محیطهای چینی زبان استفاده میکند. Catena با بهرهگیری از شلکد داخلی و منطق تغییر پیکربندی، پیلودهای مخرب نظیر (معروف به ValleyRAT) را به طور کامل در حافظه بارگذاری میکند و از شناسایی توسط آنتیویروسهای سنتی میگریزد. پس از نصب، بدافزار به طور مخفیانه به سرورهای تحت کنترل نفوذگر متصل میشود تا دستورات بعدی یا بدافزارهای مکمل را دریافت کند. این فعالیت به گروه تهدید Void Arachne ( یا Silver Fox) نسبت داده شده است. Winos 4.0 که بر پایه تروجان دسترسی از راه دور شناخته شده Gh0st RAT ساخته شده، یک چارچوب مخرب پیشرفته است که با زبان ++C نوشته شده و از یک سیستم مبتنی بر افزونه برای جمعآوری دادهها، ارائه دسترسی از راه دور به شِل و راهاندازی حملات منع سرویس توزیعشده (DDoS) استفاده میکند.
https://thehackernews.com/2025/05/hackers-use-fake-vpn-and-browser-nsis.html
