FortiGuard Labs發(fā)現(xiàn)針對中國臺灣地區(qū)的釣魚攻擊，旨在傳播Winos 4.0惡意軟件。

Fortinet的FortiGuard Labs近日披露了一起針對中國臺灣企業(yè)的新型惡意軟件攻擊活動的詳細(xì)信息。研究人員在2025年1月發(fā)現(xiàn)了這一攻擊活動，并在周四（2月27日）發(fā)布報(bào)告前與Hackread分享了這一發(fā)現(xiàn)。

該活動使用了高度先進(jìn)的惡意軟件框架，被稱為Winos 4.0。攻擊具有較高的嚴(yán)重性，采用了多階段感染過程，最終目的是竊取敏感信息，以用于未來的惡意活動。

攻擊手法：假冒稅務(wù)局發(fā)送釣魚郵件

進(jìn)一步調(diào)查顯示，該惡意軟件專門針對Microsoft Windows平臺展開攻擊。攻擊者精心設(shè)計(jì)了一封偽裝成臺灣國家稅務(wù)局的釣魚郵件，作為初始攻擊媒介。該郵件謊稱包含即將接受稅務(wù)檢查的公司名單，并要求收件人將信息轉(zhuǎn)發(fā)給財(cái)務(wù)部門。郵件附件偽裝成財(cái)政部的正式文件，實(shí)際包含一個用于下一攻擊階段的惡意DLL文件。

欺騙性PDF文件（來源：Fortinet）

攻擊通過一系列可執(zhí)行文件和動態(tài)鏈接庫（DLL）文件展開。ZIP文件中包含按順序執(zhí)行的文件：20250109.exe、ApowerREC.exe以及l(fā)astbld2Base.dll。

研究人員在博客中解釋道：“20250109.exe最初是一個啟動器，用于執(zhí)行./app/ProgramFiles中的實(shí)際ApowerREC.exe。攻擊者在ZIP文件中創(chuàng)建了相同的文件夾結(jié)構(gòu)，并使用加載器替換了ApowerREC.exe。假冒的ApowerREC.exe僅調(diào)用從lastbld2Base.dll導(dǎo)入的函數(shù)?！?/p>

該DLL解密并執(zhí)行包含配置數(shù)據(jù)（如命令與控制（C2）服務(wù)器地址）的shellcode。shellcode進(jìn)一步實(shí)現(xiàn)了可選功能，包括權(quán)限提升、反沙箱技術(shù)（例如，通過多次截圖檢測用戶活動，若未檢測到用戶交互則延遲執(zhí)行）以及隱藏進(jìn)程窗口。惡意軟件從C2服務(wù)器下載加密的shellcode和核心Winos 4.0模塊，這些數(shù)據(jù)存儲于系統(tǒng)注冊表中，以備后續(xù)解密和執(zhí)行。

攻擊流程（來源：Fortinet）

惡意軟件功能：持久化與用戶監(jiān)控

該模塊啟動多個惡意任務(wù)，例如建立持久化、繞過用戶賬戶控制（UAC）、收集系統(tǒng)信息（包括計(jì)算機(jī)名稱、操作系統(tǒng)版本及已安裝的殺毒軟件）以及禁用受感染系統(tǒng)上的屏保和節(jié)能功能。

此外，該惡意軟件還主動監(jiān)控和操作用戶活動，包括捕獲截圖、記錄鍵盤輸入和剪貼板內(nèi)容（甚至記錄連接的USB設(shè)備的插入和移除日志），并根據(jù)預(yù)定義規(guī)則修改剪貼板數(shù)據(jù)。它還可以禁用安全軟件的網(wǎng)絡(luò)連接。觀察到的其他攻擊鏈涉及Python腳本和進(jìn)一步的shellcode注入技術(shù)，這些變化展示了Winos 4.0框架的靈活性和適應(yīng)性。

防范措施：警惕釣魚郵件與增強(qiáng)防護(hù)

要防范像Winos 4.0這類復(fù)雜的惡意軟件，需要高度警惕未經(jīng)請求的郵件，尤其是帶有附件或鏈接的郵件，避免打開郵件附帶的壓縮文件（如ZIP、RAR），因?yàn)樗鼈兺ǔＳ糜趥鞑阂廛浖?。同時(shí)，啟用實(shí)時(shí)掃描功能，可以在威脅感染系統(tǒng)之前進(jìn)行檢測和攔截。

專家觀點(diǎn)

“這次攻擊遵循了經(jīng)典的釣魚模式，但在利用可信機(jī)構(gòu)引發(fā)反應(yīng)方面增添了一些趣味，”SlashNext的現(xiàn)場首席技術(shù)官J. Stephen Kowski解釋道?！巴{行為者巧妙地利用了人類心理，通過制造緊迫感和好奇心，使收件人更有可能下載惡意內(nèi)容?！?/p>