今年6月,資安公司趨勢科技揭露了一個名為Void Arachne的駭客組織攻擊活動。該組織專門針對簡體中文用戶,假冒提供中國常見的應用程式和人工智慧工具,試圖在受害者的電腦上安裝惡意程式Winos 4.0。目前,其攻擊手法已有所變化。
根據資安業者Fortinet,他們觀察到最新一波Winos 4.0的攻擊中,攻擊者聲稱提供遊戲安裝程式和優化工具。一旦受害者執行安裝,系統會從特定網域搜尋BMP圖片檔,並通過XOR演算法解碼,以獲取名為you.dll的程式庫。
接下來,這個DLL檔案將設置攻擊環境,並下載三個偽裝成BMP圖片的文件,這些文件接著轉儲為TMP檔。
在此過程中,攻擊者解開其中一個TMP檔案的密碼,提取無害的u72kOdQ.exe、MSVCP140.dll和VCRUNTIME140.dll。他們再利用XOR金鑰處理另一個TMP檔,解開惡意libcef.dll。最後,再從第三個TMP檔中提取DLL庫,用於加載並注入Shell Code。有趣的是,這個DLL庫被命名為「学籍系统」,研究人員據此推測駭客可能瞄準教育機構。
進入下一階段後,注入的Shell Code將載入特定API,搜尋配置文件並建立C2連線,此時攻擊者完成了Winos 4.0的部署。他們隨後借助一個名為「上线模块」的DLL程序庫,從C2伺服器獲取額外代碼,進一步改變受害電腦的註冊表,同時更新C2的IP地址。
最終,攻擊者使用另一個名為「登录模块」的DLL程式庫,蒐集系統資訊、監控防毒軟體狀態、收集加密貨幣錢包資料,並監控剪貼簿內容、截取螢幕畫面,再偷取特定文件並將其傳到外部。 對於這款惡意程式的演變途徑,研究人員指出,Winos 4.0已從趨勢科技初发现的後門程式發展成多功能的惡意框架,其功能可與滲透測試工具Cobalt Strike和Silver相媲美,被用於控制受害電腦並執行多種操作。