今年6月資安業者趨勢科技揭露駭客組織Void Arachne的攻擊行動,他們鎖定簡體中文用戶,聲稱提供中國常見的應用程式,以及人工智慧工具,意圖在受害電腦部署惡意程式Winos 4.0,如今攻擊手法出現變化。
資安業者Fortinet指出,他們看到最新一波的Winos 4.0攻擊行動,攻擊者聲稱提供遊戲安裝程式與最佳化工具,一旦使用者執行安裝,電腦就會從特定的網域搜尋BMP圖檔,並使用XOR演算法解碼,取得名為you.dll的程式庫檔案。
接著,這個DLL檔案會設置攻擊行動的執行環境,並從前述網域下載3個偽裝成BMP圖片的檔案,然後儲存為TMP檔。
攻擊者利用密碼解開其中一個TMP檔,取得無害的u72kOdQ.exe、MSVCP140.dll、VCRUNTIME140.dll,接著,他們使用XOR金鑰處理另一個TMP檔,解開惡意檔案libcef.dll,最後利用從第3個TMP檔得到的DLL程式庫,將libcef.dll載入並注入Shell Code。特別的是,這個程式庫的命名為「学籍系统」,根據這種檔案命名的方式,研究人員推測駭客的目標很有可能是教育機構。
到了下個階段,注入的Shell Code會載入特定的API,並搜尋組態設定,然後建立C2連線。到此攻擊者將Winos 4.0部署完成。接著,攻擊者利用其中名為「上线模块」的DLL程式庫,從C2伺服器取得額外的程式碼,竄改受害電腦機碼,同時更新C2的IP位址。
最終,攻擊者使用另一個名為「登录模块」的DLL程式庫,收集系統資訊、監控防毒軟體執行狀態、收集受害者瀏覽器的加密貨幣錢包延伸套件資料,並且監控剪貼簿內容、截取螢幕畫面,然後偷取特定檔案並傳送到外部。
針對這項惡意程式的發展,研究人員指出Winos 4.0已從原本趨勢科技找到的後門程式,發展成能夠搭配多種外掛的惡意程式框架,功能已與滲透測試工具Cobalt Strike、Silver相當,能被用於控制受害電腦並具備多種功能。
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-12-03