Chiến dịch phần mềm độc hại Winos 4.0 nhắm mục tiêu vào các tổ chức tại Đài Loan thông qua các email lừa đảo mạo danh Cục Thuế Quốc gia. Dưới đây là các chi tiết chính về chiến dịch:
1. Email Lừa Đảo:
- Các email này tuyên bố bao gồm danh sách các công ty sẽ bị kiểm tra thuế, thúc giục người nhận tải xuống một tập tin ZIP đính kèm.
- Tập tin ZIP chứa một DLL độc hại có tên “lastbld2Base.dll” được ngụy trang như một tài liệu kiểm tra thuế hợp pháp.
2. Thực Thi Phần Mềm Độc Hại:
- Tập tin đính kèm thực thi theo một chuỗi: 20250109.exe, ApowerREC.exe và lastbld2Base.dll.
- File ApowerREC.exe giả mạo không làm gì ngoài việc gọi một hàm được nhập từ lastbld2Base.dll, hàm này giải mã và thực thi mã của shell chứa dữ liệu cấu hình, bao gồm địa chỉ máy chủ C2.
3. Khả Năng Của Phần Mềm Độc Hại:
- Phần mềm độc hại này nhắm đến các nền tảng Microsoft Windows và sử dụng một chuỗi các file thực thi và thư viện liên động (DLL).
- Nó thiết lập tính bền vững trên hệ thống bị nhiễm bằng cách tạo một bản sao của phần mềm độc hại như một dịch vụ Windows và sửa đổi các khóa registry.
- Phần mềm độc hại này vượt qua Kiểm Soát Tài Khoản Người Dùng (UAC) và thực hiện nhiều hoạt động độc hại khác nhau, bao gồm:
- Ghi lại phím (Keylogging)
- Chụp màn hình
- Giám sát clipboard
- Giám sát các thiết bị USB đã kết nối
- Vô hiệu hóa phần mềm bảo mật và các kết nối mạng
4. Biến Thể Chuỗi Tấn Công:
- Các chuỗi tấn công thay thế liên quan đến các script Python và các kỹ thuật chèn shellcode bổ sung, cho thấy tính linh hoạt và khả năng thích ứng của framework Winos 4.0.
- Trình cài đặt CleverSoar được phân phối dưới dạng phần mềm giả mạo hoặc ứng dụng liên quan đến trò chơi và kiểm tra cài đặt ngôn ngữ của người dùng để đảm bảo chúng được đặt thành tiếng Trung hoặc tiếng Việt, kết thúc cài đặt nếu ngôn ngữ không được nhận diện.
5. Gán Nhãn:
- Chiến dịch này có liên quan đến APT Silver Fox và sử dụng phần mềm bị xâm nhập để phân phối phần mềm độc hại bổ sung, chẳng hạn như keyloggers và thợ đào tiền điện tử.
- Phần mềm độc hại này có sự chồng chéo với một trojan truy cập từ xa khác được theo dõi dưới tên ValleyRAT, cả hai đều xuất phát từ cùng một nguồn: Gh0st RAT.
6. Phát Hiện và Ngăn Chặn:
- Các chuyên gia nhấn mạnh việc khai thác tâm lý con người trong cuộc tấn công này, sử dụng sự khẩn cấp và sự tò mò liên quan đến các tài liệu thuế để tăng khả năng người nhận tải xuống tập tin độc hại.
- Phần mềm độc hại này sử dụng một số kỹ thuật MITRE, bao gồm giao tiếp chỉ huy và kiểm soát qua HTTP/S, khai thác hệ thống của người nhận thông qua các tài liệu độc hại đính kèm, và ghi lại phím để thu thập thông tin nhạy cảm của người dùng.
Tổng quan toàn diện này làm nổi bật bản chất tinh vi của chiến dịch phần mềm độc hại Winos 4.0 và tác động tiềm tàng của nó đối với các tổ chức bị nhắm đến tại Đài Loan.
