資安業者趨勢科技在今年4月初發現駭客組織Void Arachne的攻擊行動,對方的目標主要是使用簡體中文的用戶,假借提供簡體中文版Chrome,以及當地的VPN軟體LetsVPN、QuickVPN(快連VPN),甚至是使用Deepfake技術脫衣、變臉、變聲的人工智慧工具,或是Telegram簡體中文介面套件,目的是在使用者電腦植入後門程式Winos 4.0。
值得留意的是,這些駭客同時藉由購買搜尋引擎廣告進行SEO中毒攻擊,或是透過簡體中文Telegram頻道,來散布惡意軟體。
研究人員指出,這些駭客犯案的共通點,在於他們都向使用者提供MSI安裝程式,開啟、執行之後,確實會安裝對方宣稱的應用程式,但在此同時,也在用戶不知情的狀況下,部署惡意軟體,並向攻擊者的C2伺服器進行連線。
由於中國政府對於民眾上網嚴格監管,因此,使用VPN服務翻越當局防火長城(Great Firewall)的情況,也相當常見。駭客提供這樣的工具,確實相當容易吸引用戶上當,但在研究人員提及的攻擊行動裡,我們認為對方利用Telegram散布人工智慧工具情況,更值得留意。
因為研究人員發現,這些駭客同時也透過多個中文Telegram頻道散布上述加料的VPN應用程式,循線進一步調查,對方竟藉由這些頻道提供利用Deepfake技術的人工智慧應用程式。
這些應用程式大致可分成兩種類型,其中一種是一鍵脫衣的色情圖片及影片生成工具(Nudifier AI),另一種則是換臉及變聲的工具。
其中,又以脫衣軟體最值得留意,因為這樣的工具很容易引誘男性用戶上鉤,他們聲稱可以讓用戶只要花費一包香菸的錢,就能看到心儀的女同事、女同學裸體的樣貌。
為了讓用戶隨時能取得這些Deepfake軟體,這些駭客還在頻道頂部放置惡意MSI檔案下載的連結,甚至提供試用密碼,並要求下載檔案前必須關閉防毒軟體。
而對於駭客在安裝程式埋入的惡意程式,研究人員指出,一旦使用者執行安裝檔案,就會竄改防火牆規則,將惡意軟體相關網站加入白名單,然後啟動VBS指令碼,傳送名為Winos 4.0的C2框架,以及與C2伺服器建立連線的程式。
駭客使用C++打造Winos 4.0,此程式能執行檔案管理、控制網路攝影機、螢幕截圖、透過麥克風錄音、側錄鍵盤輸入內容,甚至能發動DDoS攻擊、存取遠端Shell。此外,這個惡意程式還能透過外掛程式增加破壞威力。
熱門新聞
2024-08-14
2024-12-20
2024-12-22
2024-12-22