去年11月惡意程式Winos 4.0鎖定中國遊戲玩家進行散播,當時揭露此事的資安業者Fortinet追蹤後續發展,2月底他們警告這款惡意程式近期將攻擊目標轉向臺灣。
對於這波攻擊行動發生的經過,Fortinet發現今年1月攻擊者假借國稅局的名義寄送釣魚信,並以抽查稅務為由,要求收信人將資料轉送給公司的財務主管。
這封釣魚信挾帶了PDF檔案,內容冒充財政部稅務稽查公文進行隨機抽查,要求財務人員依照指示點選連結,下載要受稽查的企業名冊,一旦照做,電腦就會下載ZIP壓縮檔,並依照特定順序執行內含的檔案。
攻擊者首先執行20250109.exe,此為載入電腦螢幕錄製工具ApowerREC主程式的工具,但駭客在攻擊過程將其用於載入冒牌的ApowerREC.exe,用來呼叫lastbld2Base.dll的功能。此惡意程式庫便會解開特定的資料,目的是取得下個階段的Shell Code。
值得一提的是,攻擊者防範被沙箱偵測的方法,是每隔兩秒截取螢幕畫面,然後比對兩個截圖的相素,若是確認有超過2萬個像素不同,表示是真實使用者在進行操作,才會繼續相關攻擊,否則惡意程式就會繼續拍攝螢幕畫面。Fortinet資安研究員Pei Han Liao提及,有部分受害電腦比對接近1個小時。
通過上述的防偵測機制後,駭客接著從C2伺服器下載經加密處理的Shell Code檔案,以及Winos 4.0的模組,而此Shell Code會再從伺服器取得另一個DLL檔案「登录模块.dll」,此檔案會產生8個處理程序,分別用來拍攝螢幕截圖、側錄鍵盤輸入內容、竄改剪貼簿內容、監控USB裝置、執行Shell Code、讀取登錄檔、迴避防毒軟體偵測,以及用來取得權限和清除可能影響惡意程式運作的組態。
在作案工具的部分,Fortinet也查獲這波行動還有另一條散布Winos 4.0的攻擊鏈,攻擊者同樣要求收信人點選附件的PDF檔案,但透過連結存取的ZIP檔則會啟動Python指令碼「查看10.exe」,於受害電腦載入惡意程式庫Python311.dll,此DLL檔案會解出Shell Code,並取得另一個DLL檔案,於電腦投放偽裝成JPG圖檔的Shell Code,然後寫入系統機碼並執行,最終執行惡意DLL檔案「上线模块.dll」連向惡意網域。
熱門新聞
2025-03-03
2025-03-03
2025-03-03
2025-03-01
2025-03-03
