Мошенничество, угрозы

Поддельный сайт безопасности Huorong заражает пользователей ValleyRAT

Автор: Стефан Дасич | 23 февраля 2026 г.
Логотип Huorong с RAT

Убедительная копия популярного антивируса Huorong Security была использована для доставки ValleyRAT, сложного трояна удаленного доступа (RAT), построенного на платформе Winos4.0, пользователям, которые полагали, что они улучшают свою безопасность.

Кампания, приписываемая группе Silver Fox APT — китайскоязычной группе злоумышленников, известной распространением троянских версий популярного китайского программного обеспечения, — использует домен с опечаткой для доставки троянского установщика NSIS, который развертывает полнофункциональный бэкдор с расширенными возможностями скрытого режима и внедрения в пользовательском режиме.

Поддельный сайт, созданный для обмана пользователей, заботящихся о безопасности

Huorong Security — известный в Китае как 火绒 — это бесплатный антивирусный продукт, разработанный компанией Beijing Huorong Network Technology Co., Ltd. и широко используемый на территории материкового Китая.

Злоумышленники зарегистрировали домен huoronga[.]com (обратите внимание на лишнюю букву «a» в конце) как почти идеальную подделку легитимного домена huorong.cn. Эта техника типосквоттинга ловит пользователей, которые ошибочно вводят адрес или попадают на сайт через зараженные поисковые системы или фишинговые ссылки. Поддельный сайт выглядит достаточно убедительно, чтобы у большинства посетителей не было явных причин подозревать, что что-то не так.

Поддельный сайт Huorong Security

Еще один поддельный сайт Huorong Security

Когда посетитель нажимает кнопку «Скачать», запрос незаметно направляется через промежуточный домен (hndqiuebgibuiwqdhr[.]cyou), прежде чем окончательная полезная нагрузка будет доставлена из хранилища Cloudflare R2 — легитимного облачного сервиса, выбранного за его надежную репутацию и доступность. Файл называется BR火绒445[.]zip, в нем используется китайское название Huorong, чтобы сохранить маскировку до момента выполнения.

Что происходит после нажатия кнопки «Скачать»

Внутри ZIP-архива находится троянский установщик NSIS (Nullsoft Scriptable Install System), легальная платформа с открытым исходным кодом, используемая многими реальными приложениями. Его использование здесь является преднамеренным: исполняемый файл, созданный с помощью NSIS, вызывает меньше подозрений, чем пользовательский упаковщик, и процесс установки выглядит нормальным.

При запуске установщик создает ярлык на рабочем столе с именем 火绒.lnk (Huorong.lnk), усиливая иллюзию успешной установки антивируса.

Одновременно он извлекает группу файлов в папку Temp пользователя. Большинство из них являются подлинными вспомогательными библиотеками или ложными исполняемыми файлами, предназначенными для имитации реальной установки, включая копии мультимедийных DLL-библиотек FFmpeg, файл, выдающий себя за инструмент восстановления .NET, и другой файл, имитирующий диагностическую утилиту Huorong.

В число вредоносных компонентов входят:

  • WavesSvc64.exe: основной загрузчик, замаскированный под процесс аудиослужбы Waves.
  • DuiLib_u.dll: угнанная библиотека DirectUI, используемая для боковой загрузки DLL
  • box.ini: зашифрованный файл, содержащий шелл-код

Как Windows , чтобы загрузить вредоносное ПО

Основной техникой является DLL-сайдлоадинг — метод, который злоумышленники используют, чтобы Windows загрузить вредоносный файл вместо легитимного.

WavesSvc64.exe выглядит легитимным — его путь PDB ссылается на каталог кода игрового приложения — поэтому Windows его без проблем. При запуске Windows загружает DuiLib_u.dll вместе с ним. Эта DLL была заменена вредоносной версией, которая считывает зашифрованный шелл-код из box.ini, расшифровывает его и выполняет непосредственно в памяти.

Вместо того, чтобы сбрасывать один монолитный исполняемый файл бэкдора, цепочка заканчивается выполнением шелл-кода в памяти, загруженного из файлов, сброшенных на диск (например, box.ini) посредством боковой загрузки DLL. Цепочка на основе шелл-кода соответствует шаблону загрузчика Catena, задокументированному Rapid7, где подписанные или выглядящие легитимными исполняемые файлы объединяют код атаки в конфигурационных файлах .ini и используют рефлексивную инъекцию для его выполнения, оставляя минимальный след для криминалистической экспертизы.

Как бэкдор становится постоянным

Анализ поведения показывает методичную цепочку заражения:

1. Исключения для защитников
Вредоносная программа запускает PowerShell с высоким уровнем целостности и дает Windows указание игнорировать свой каталог постоянного хранения (AppData\Roaming\trvePath) и его основной процесс (WavesSvc64.exe). После выполнения этих команд Windows с меньшей вероятностью просканирует выбранный путь/процесс вредоносного ПО, что существенно снижает эффективность встроенного обнаружения.

2. Настойчивость
Создает запланированное задание с именем «Батареи» (отображается как C:\Windows\Tasks\Batteries.job). При каждой последующей загрузке задача запускается WavesSvc64.exe /run из каталога persistence, повторно применяет исключения Defender и повторно подключается к командному центру (C2).

3. Обновление файлов
Чтобы избежать обнаружения по сигнатуре, вредоносная программа удаляет и перезаписывает файлы WavesSvc64.exe, DuiLib_u.dll, libexpat.dll, box.ini и vcruntime140.dll. Удаление только этих файлов может не полностью устранить заражение, поскольку вредоносная программа демонстрирует способность перезаписывать основные компоненты во время выполнения.

4. Хранение реестра
Данные конфигурации, включая закодированный домен C2 yandibaiji0203.[]com, записываются в HKCU\SOFTWARE\IpDates_info. Вторичный ключ в HKCU\Console\0\451b464b7a6c2ced348c1866b59c362e хранит зашифрованные двоичные данные, которые, вероятно, используются для настройки вредоносного ПО или подготовки полезной нагрузки.

Как он избегает обнаружения

Помимо отключения Defender, ValleyRAT принимает меры для предотвращения обнаружения и анализа.

Он проверяет наличие отладчиков и инструментов для криминалистической экспертизы, ища характерные названия окон. Он проверяет версию BIOS, видеоадаптеры и ключи реестра VirtualBox, чтобы обнаружить виртуальные машины — песочницы, которые исследователи используют для безопасного анализа вредоносных программ. Он также проверяет доступную память и емкость диска, а также проверяет настройки локали и языка, вероятно, в качестве меры геолокации, чтобы подтвердить, что он работает на китайскоязычной системе, прежде чем полностью развернуться.

Управление и контроль связи

Стейджер Winos4.0 подключается к своему серверу C2 по адресу 161.248.87.250 через TCP-порт 443. Использование TCP 443 обеспечивает маскировку на уровне порта, однако проверка показала, что используется не стандартный HTTPS с TLS-шифрованием, а специальный двоичный протокол.

Системы обнаружения вторжений в сеть сработали, выдав предупреждения критической степени опасности о входе в систему Winos4.0 CnC и сообщениях сервера, а также предупреждение высокой степени опасности об инициализации ProcessKiller C2.

Был зафиксирован трафик C2, исходящий из rundll32.exe, which executed with the command line “rundll32.exe”—lacking the typical <DLL>,<Export> argument structure. In environments with command-line and parent-child process monitoring, this execution pattern is a high-confidence anomaly. Sandbox analysis extracted multiple WinosStager plugin DLLs from the rundll32 process, confirming the modular architecture that makes ValleyRAT particularly dangerous: capabilities are not bundled in a single monolithic binary but downloaded on demand.

Особое беспокойство вызывает компонент ProcessKiller. Сетевая телеметрия указывает на инициализацию ProcessKiller C2, что соответствует модулю, связанному в предыдущих отчетах с прекращением работы программного обеспечения безопасности. Предыдущие кампании ValleyRAT/Winos4.0 были направлены на продукты безопасности от Qihoo 360, Huorong, Tencent и Kingsof, что указывает на возможность прекращения работы программного обеспечения безопасности, включая продукт, который он имитировал в качестве приманки.

Возможности после компромисса

Короче говоря, после установки злоумышленники могут отслеживать жертву, похищать конфиденциальную информацию и удаленно управлять системой. Анализ в песочнице подтвердил следующие действия после того, как вредоносное ПО закрепилось в системе:

  • Кейлоггинг с помощью системного крючка клавиатуры, установленного через SetWindowsHookExW в процессе rundll32, который фиксирует каждое нажатие клавиши.
  • Внедрение в процесс: WavesSvc64.exe создает приостановленные процессы и записывает в память других процессов для скрытого выполнения кода.
  • Доступ к учетным данным: вредоносная программа считывает ключи реестра, связанные с учетными данными, и затрагивает файлы cookie браузера.
  • Разведка системы: запросы имени хоста, имени пользователя, раскладки клавиатуры, локализации, запущенных процессов и физических дисков.
  • Области памяти RWX, созданные внутри rundll32.exe, соответствуют выполнению в памяти, что снижает зависимость от дополнительных исполняемых файлов с полезной нагрузкой.
  • Самоочистка: удаляет свои собственные исполняемые файлы и выполняет удаление 10 или более дополнительных файлов, чтобы затруднить криминалистическое восстановление.
  • Вредоносная программа создает мьютекс, включающий строку с датой 2026. 2. 5 и путь C:\ProgramData\DisplaySessionContainers.log, и записывает файл журнала в этом месте.

Кто стоит за этой кампанией?

Эта кампания соответствует устоявшейся схеме действий Silver Fox. Группа неоднократно использовала троянские установщики широко распространенного китайского программного обеспечения для распространения ValleyRAT и фреймворка Winos4.0. Ранее в качестве приманок использовались QQ Browser, LetsVPN и игровые приложения.

Выдача себя за продукт безопасности повышает ставки. Жертвами становятся не просто случайные пользователи — они активно ищут защиту.

Цель остается неизменной. Имена файлов на китайском языке, приманка Huorong и встроенные проверки локализации указывают на географически ориентированную кампанию.

Однако публичная утечка сведений о ValleyRAT builder на GitHub в марте 2025 года значительно снизила барьер для входа. Исследователи выявили около 6000 связанных образцов в период с ноября 2024 года по ноябрь 2025 года, причем 85 % из них появились во второй половине этого периода. Этот рост свидетельствует о том, что инструментарий распространяется за пределы одного оператора.

Как оставаться в безопасности

Эта кампания показывает, как легко доверие может быть обращено против пользователей. Злоумышленникам не понадобился эксплойт «нулевого дня». Им понадобился убедительный веб-сайт, реалистичный установщик и знание того, что многие люди будут искать название продукта и кликать на первый результат.

Когда приманкой является продукт безопасности, обман становится еще более эффективным.

Вот что нужно проверить:

  • Проверяйте источники загрузки. Официальный веб-сайт Huorong Security — huorong.cn. Перед загрузкой программного обеспечения для обеспечения безопасности всегда дважды проверяйте домен — один лишний символ может привести к переходу на вредоносный сайт.
  • Контролируйте исключения Windows . Любая команда Add-MpPreference, которую вы не запускали, является явным признаком взлома. Регулярно проверяйте исключения.
  • Поиск артефактов постоянства. Поиск конечных точек для запланированной задачи или задания с именем «Батареи» (артефакт наблюдается как C:\Windows\Tasks\Batteries.job), %APPDATA%\trvePath\ каталог и ключ реестра HKCU\SOFTWARE\IpDates_info.
  • Заблокируйте исходящие соединения с адресом 161.248.87.250 в брандмауэре и разверните правила IDS для сигнатур Winos4.0 C2 (ET SID 2052875, 2059975 и 2052262).
  • Предупреждение об аномалиях в процессе. Rundll32.exe без легитимного аргумента DLL и WavesSvc64.exe вне подлинной установки Waves Audio являются высоконадежными индикаторами.

Malwarebytes и блокирует известные варианты ValleyRAT и связанную с ним инфраструктуру.

Индикаторы компромисса (ИКС)

Инфраструктура

  • Поддельные веб-сайты:
    • huoronga[.]com
    • huorongcn[.]com
    • huorongh[.]com
    • huorongpc[.]com
    • huorongs[.]com
  • Перенаправление домена: hndqiuebgibuiwqdhr[.]cyou
  • Хост полезной нагрузки: pub-b7ce0512b9744e2db68f993e355a03f9.r2[.]dev
  • C2 IP: 161.248.87[.]250 (TCP 443, пользовательский двоичный протокол)
  • Кодированный домен C2: yandibaiji0203[.]com

Хэши файлов (SHA-256)

  • 72889737c11c36e3ecd77bf6023ec6f2e31aecbc441d0bdf312c5762d073b1f4  (установщик NSIS)
  • db8cbf938da72be4d1a774836b2b5eb107c6b54defe0ae631ddc43de0bda8a7e  (WavesSvc64.exe)
  • d0ac4eb544bc848c6eed4ef4617b13f9ef259054fe9e35d9df02267d5a1c26b2  (DuiLib_u.dll)
  • 07aaaa2d3f2e52849906ec0073b61e451e0025ef2523dafbd6ae85ddfa587b4d  (WinosStager DLL № 1)
  • 66e324ea04c4abbad6db4f638b07e2e560613e481ff588e0148e33e23a5052a9  (WinosStager DLL #2)
  • 47df12b0b01ddca9eb116127bf84f63eb31e80cec33e4e6042dff1447de8f45f  (WinosStager DLL #3)

Индикаторы на основе хоста

  • Запланированное задание с именем Batteries в C:\Windows\Tasks\Batteries.job
  • Каталог постоянных данных: %APPDATA%\trvePath\
  • Ключ реестра: HKCU\SOFTWARE\IpDates_info
  • Ключ реестра: HKCU\Console\0\451b464b7a6c2ced348c1866b59c362e
  • Файл журнала: C:\ProgramData\DisplaySessionContainers.log
  • Процессы: WavesSvc64.exe, rundll32.exe (без аргумента DLL)

MITRE ATT&CK

  • T1189 — Компрометация при проезде (первоначальный доступ)
  • T1059.001 — PowerShell (выполнение)
  • T1053.005 — Запланированная задача (постоянство)
  • T1562.001 — Ослабление защиты: отключение или модификация инструментов (обход защиты)
  • T1574.002 — Боковая загрузка DLL (обход защиты)
  • T1027 — Зашифрованные файлы или информация (уклонение от защиты)
  • T1218.011 — Rundll32 (Обход защиты)
  • T1555 — Учетные данные из хранилищ паролей (доступ к учетным данным)
  • T1082 — Поиск системной информации (Discovery)
  • T1057 — Обнаружение процессов (Discovery)
  • T1056.001 — Кейлоггинг (сбор данных)
  • T1071 — Протокол прикладного уровня (управление и контроль)
  • T1070.004 — Удаление индикаторов: удаление файлов (обход защиты)

Мы не просто сообщаем о мошенничестве - мы помогаем его обнаружить.

Риски кибербезопасности не должны выходить за рамки заголовков новостей. Если что-то кажется вам подозрительным, проверьте, не является ли это мошенничеством, с помощью Malwarebytes Guard. Отправьте скриншот, вставьте подозрительный контент или поделитесь ссылкой, текстом или номером телефона, и мы сообщим вам, является ли это мошенничеством или законным. Доступно с Malwarebytes Premium для всех ваших устройств, а также в Malwarebytes для iOS Android.

Об авторе

Стефан Дашич

Стефан Дашич

Увлеченный антивирусными решениями, Стефан с раннего возраста участвовал в тестировании вредоносных программ и контроле качества AV-продуктов. Став частью команды Malwarebytes , Стефан посвящает себя защите клиентов и обеспечению их безопасности.

ПОСЛЕДНИЕ СТАТЬИ

Новости
запоминание паролей

Менеджеры паролей обеспечивают безопасность ваших паролей, за исключением случаев, когда…

Февраль 23, 2026

Исследователи изучили заявления о нулевом разглашении информации, сделанные разработчиками менеджеров паролей, и обнаружили несколько возможных сценариев атак.

Новости
неделя безопасности

Неделя в сфере безопасности (16 февраля – 22 февраля)

Февраль 23, 2026

Список тем, которые мы освещали в течение недели с 16 по 22 февраля 2026 года

Подкаст
Иллюстрированный навесной замок установлен в микрофонную стойку, из которой исходят звуковые волны.

Что нельзя говорить в TikTok?

Февраль 22, 2026

На этой неделе в подкасте Lock and Code мы беседуем с Заком Хинклом и Минжи Пэ о новом американском владельце TikTok и его новых правилах.

Значок вкладчика

Вкладчики

Значок центра угроз

Центр защиты от угроз

Значок подкастов

Подкаст

Значок глоссария

Глоссарий

Значок мошенничества

Аферы