Gefälschte VPN-Installer verbreiten Winos 4.0 Malware

LONDON (IT BOLTWISE) – In einer neuen Welle von Cyberangriffen haben Sicherheitsforscher eine raffinierte Malware-Kampagne aufgedeckt, die gefälschte Software-Installer nutzt, um das Winos 4.0 Framework zu verbreiten.

Eine kürzlich entdeckte Malware-Kampagne nutzt gefälschte Software-Installer, die sich als beliebte Tools wie LetsVPN und QQ Browser ausgeben, um das Winos 4.0 Framework zu verbreiten. Diese Kampagne, die erstmals im Februar 2025 von Rapid7 entdeckt wurde, verwendet einen mehrstufigen, speicherresidenten Loader namens Catena. Laut den Sicherheitsforschern Anna Širokova und Ivan Feigl nutzt Catena eingebetteten Shellcode und Konfigurationswechsel-Logik, um Payloads wie Winos 4.0 vollständig im Speicher zu laden und so traditionelle Antiviren-Tools zu umgehen.

Nach der Installation verbindet sich die Malware unauffällig mit von Angreifern kontrollierten Servern, die meist in Hongkong gehostet werden, um weitere Anweisungen oder zusätzliche Malware zu erhalten. Die Angriffe, die wie frühere Einsätze von Winos 4.0 speziell auf chinesischsprachige Umgebungen abzielen, zeigen eine sorgfältige, langfristige Planung durch einen sehr fähigen Bedrohungsakteur. Winos 4.0, auch bekannt als ValleyRAT, wurde erstmals im Juni 2024 von Trend Micro dokumentiert und in Angriffen eingesetzt, die chinesischsprachige Nutzer mit bösartigen Windows Installer (MSI) Dateien für VPN-Apps anvisierten.

Die Aktivität wird einem Bedrohungscluster zugeschrieben, das als Void Arachne oder Silver Fox bekannt ist. Nachfolgende Kampagnen, die die Malware verbreiten, haben Spiele-bezogene Anwendungen wie Installationstools, Geschwindigkeitsbooster und Optimierungsprogramme als Köder genutzt, um Nutzer zur Installation zu verleiten. Eine weitere Angriffswelle im Februar 2025 zielte auf Einrichtungen in Taiwan ab und nutzte Phishing-E-Mails, die angeblich vom Nationalen Steuerbüro stammten.

Winos 4.0 basiert auf einem bekannten Remote-Access-Trojaner namens Gh0st RAT und ist ein fortschrittliches bösartiges Framework, das in C++ geschrieben ist und ein Plugin-basiertes System verwendet, um Daten zu sammeln, Remote-Shell-Zugriff zu bieten und Distributed-Denial-of-Service (DDoS) Angriffe zu starten. Im Februar 2025 beobachtete Rapid7 einen Infektionsfluss, der auf QQ Browser basierte. Alle im Februar 2025 markierten Artefakte basierten auf NSIS-Installern, die mit signierten Decoy-Apps gebündelt waren, Shellcode in “.ini” Dateien eingebettet hatten und reflektierende DLL-Injektion nutzten, um auf infizierten Hosts unauffällig persistieren zu können und Erkennung zu vermeiden.

Die gesamte Infektionskette wurde Catena genannt. Die Kampagne ist bisher im gesamten Jahr 2025 aktiv, zeigt eine konsistente Infektionskette mit einigen taktischen Anpassungen, was auf einen fähigen und anpassungsfähigen Bedrohungsakteur hinweist. Der Ausgangspunkt ist ein trojanisierter NSIS-Installer, der sich als Installer für QQ Browser ausgibt, einen auf Chromium basierenden Webbrowser, der von Tencent entwickelt wurde und Winos 4.0 mit Catena ausliefert.

Die Malware kommuniziert über fest codierte Command-and-Control (C2) Infrastruktur über TCP-Port 18856 und HTTPS-Port 443. Im April 2025 identifizierte Rapid7 eine “taktische Verschiebung”, die nicht nur einige Elemente der Catena-Ausführungskette änderte, sondern auch Funktionen zur Umgehung der Antiviren-Erkennung einbezog. Im überarbeiteten Angriffsablauf tarnt sich der NSIS-Installer als Setup-Datei für LetsVPN und führt einen PowerShell-Befehl aus, der Microsoft Defender-Ausschlüsse für alle Laufwerke (C:\ bis Z:\) hinzufügt.

Er legt dann zusätzliche Payloads ab, darunter eine ausführbare Datei, die einen Snapshot der laufenden Prozesse erstellt und nach Prozessen sucht, die mit 360 Total Security, einem von der chinesischen Firma Qihoo 360 entwickelten Antivirus-Produkt, in Verbindung stehen. Die Binärdatei ist mit einem abgelaufenen Zertifikat signiert, das von VeriSign ausgestellt wurde und angeblich zu Tencent Technology (Shenzhen) gehört. Es war gültig vom 11.10.2018 bis 02.02.2020. Die Hauptaufgabe der ausführbaren Datei besteht darin, eine DLL-Datei reflektiv zu laden, die sich wiederum mit einem C2-Server (“134.122.204[.]11:18852” oder “103.46.185[.]44:443”) verbindet, um Winos 4.0 herunterzuladen und auszuführen.

Diese Kampagne zeigt eine gut organisierte, regional fokussierte Malware-Operation, die trojanisierte NSIS-Installer nutzt, um den Winos 4.0 Stager unauffällig abzulegen. Sie stützt sich stark auf speicherresidente Payloads, reflektierendes DLL-Laden und Decoy-Software, die mit legitimen Zertifikaten signiert ist, um keine Alarmglocken zu läuten. Infrastrukturüberschneidungen und sprachbasierte Zielauswahl deuten auf Verbindungen zur Silver Fox APT hin, wobei die Aktivitäten wahrscheinlich auf chinesischsprachige Umgebungen abzielen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!