HackerNews 编译,转载请注明出处:
一个名为Winos 4.0的恶意软件正在通过伪装成台湾地区国税局的钓鱼邮件,针对台湾地区的公司展开攻击。
此次攻击活动由Fortinet FortiGuard Labs于上月发现,与以往利用恶意游戏相关应用程序的攻击链条有所不同。攻击者声称附件是“待税务检查的企业名单”,并要求收件人将其转发给公司财务主管。该附件伪装成财政部的官方文件,诱导收件人下载所谓的“待税务检查企业名单”,但实际上是一个包含恶意DLL文件(“lastbld2Base.dll”)的ZIP文件。该文件为下一阶段的攻击做准备,执行下载Winos 4.0模块的shellcode,该模块从远程服务器(“206.238.221[.]60”)下载并收集敏感数据。
Winos 4.0的登录模块具备多种功能,包括截屏、记录按键、修改剪贴板内容、监控连接的USB设备、运行shellcode,以及在Kingsoft Security和Huorong安全提示时允许执行敏感操作(例如cmd.exe)。Fortinet还发现了一个次要攻击链条,该链条可下载一个在线模块,用于截取微信和网上银行的屏幕截图。
值得注意的是,传播Winos 4.0恶意软件的入侵组织被命名为Void Arachne和银狐(Silver Fox),该恶意软件还与另一种名为ValleyRAT的远程访问木马存在重叠。Forescout Vedere Labs的安全研究主管Daniel dos Santos表示:“Winos和ValleyRAT都源自同一源头——Gh0st RAT,这是一种于2008年在中国开发并开源的恶意软件。”
ValleyRAT最早于2023年初被发现,最近被观察到利用假冒Chrome网站作为传播渠道,感染使用中文的用户。类似的恶意下载方案也被用于传播Gh0st RAT。此外,Winos 4.0的攻击链条还整合了名为CleverSoar的安装程序,该程序通过伪装成假软件或游戏相关应用程序的MSI安装包执行。Rapid7在2024年11月底指出,CleverSoar安装程序会检查用户的语言设置,如果设置为中文或越南语以外的语言,安装程序将终止,从而防止感染。
与此同时,银狐APT组织还被发现利用被篡改的飞利浦(Philips)DICOM查看器版本部署ValleyRAT,随后用于投放键盘记录器和加密货币矿工。值得注意的是,这些攻击利用了TrueSight驱动程序的漏洞来禁用防病毒软件。Forescout表示:“此次攻击利用被篡改的DICOM查看器作为诱饵,感染受害者系统,部署用于远程访问和控制的后门(ValleyRAT)、用于捕获用户活动和凭据的键盘记录器,以及用于利用系统资源获取经济利益的加密货币矿工。”
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
