Una nuova campagna si rivolge alle aziende di Taiwan con malware noto come Winos 4.0 Come parte delle e -mail di phishing mascherate da Nationwide Taxation Bureau del paese.
La campagna, rilevata il mese scorso da Fortinet Fortiguard Labs, segna una partenza dalle precedenti catene di attacco che hanno sfruttato Applicazioni maliziose relative al gioco.
“Il mittente ha affermato che il file dannoso allegato period un elenco di imprese in programma per l’ispezione fiscale e ha chiesto al destinatario di inoltrare le informazioni al tesoriere della loro società”, il ricercatore della sicurezza Pei Han Liao disse In un rapporto condiviso con le notizie di Hacker.
L’allegato imita un documento ufficiale del Ministero delle finanze, esortando il destinatario a scaricare l’elenco delle imprese in programma per l’ispezione fiscale.
Ma in realtà, l’elenco è un file zip contenente una DLL dannosa (“LASTBLD2Base.dll”) che pone le basi per la fase di attacco successiva, portando all’esecuzione di ShellCode che è responsabile del obtain di un modulo Winos 4.0 da un server remoto (“206.238.221 (.) 60”) per raccogliere dati sensibili.
Il componente, descritto come un modulo di accesso, è in grado di eseguire screenshot, registrare i tasti, modificare il contenuto degli appunti, monitorare i dispositivi USB collegati, eseguire il cofano shell e consentire l’esecuzione di azioni sensibili (advert esempio, cmd.exe) quando vengono visualizzate la sicurezza di Kingsoft Safety e Huoong.
Fortinet ha detto di aver anche osservato una seconda catena di attacco che scarica un Modulo on-line Ciò può catturare screenshot di WeChat e banche on-line.
Vale la pena notare che il set di intrusioni La distribuzione del malware Winos 4.0 è stata assegnata ai moniker void Arachne e Silver Fox, con il malware anche sovrapposto Un altro Trojan advert accesso remoto tracciato come Valleyrat.
“Sono entrambi derivati dalla stessa fonte: Gh0st Rat, che è stato sviluppato in Cina e open supply nel 2008”, ha detto a Hacker Information Daniel Dos Santos, responsabile della ricerca sulla sicurezza dei ForesCout.
“Winos e Valleyrat sono variazioni di GH0st Rat attribuite a Silver Fox da diversi ricercatori in diversi punti.
Valleyratidentificato per la prima volta all’inizio del 2023, è stato recentemente osservato utilizzando siti cromati falsi come condotto per infettare gli utenti di lingua cinese. Simili schemi di obtain drive-by sono stati inoltre impiegati per consegnare GH0st Rat.
Inoltre, le catene di attacco di Winos 4.0 hanno incorporato quello che viene chiamato un installatore di Cleversoar che viene eseguito per mezzo di un pacchetto di installatore MSI distribuito come software program falso o applicazioni relative al gioco. Anche lasciato cadere insieme a Winos 4.0 tramite Cleversoar è l’open-source Nidhogg rootkit.
“Il programma di installazione di Cleversoar (…) controlla le impostazioni della lingua dell’utente per verificare se sono impostate su cinesi o vietnamiti”, Rapid7 notato Alla high-quality di novembre 2024. “Se la lingua non è riconosciuta, l’installatore termina, impedendo efficacemente l’infezione. Questo comportamento suggerisce fortemente che l’attore delle minacce si prendono di mira principalmente le vittime in queste regioni”.
La divulgazione arriva quando Silver Fox Apt è stato collegato a una nuova campagna che sfrutta le versioni trojanizzate degli spettatori di Philips Dicom per distribuire Valleyrat, che viene quindi utilizzata per far cadere un keylogger e un minatore di criptovaluta sui laptop delle vittime. In particolare, è stato scoperto che gli attacchi utilizzano una versione vulnerabile del Truesight Driver Per disabilitare il software program antivirus.
“Questa campagna sfrutta gli spettatori di DICOM hanno tratto come esche per infettare i sistemi delle vittime con un backdoor (Valleyrat) per l’accesso e il controllo remoti, un keylogger per catturare l’attività e le credenziali degli utenti e un minatore di criptovalute per sfruttare le risorse del sistema per il guadagno finanziario”, Forescout disse.
