Kampanye baru menargetkan perusahaan di Taiwan dengan malware yang dikenal sebagai Winos 4.0 sebagai bagian dari email phishing yang menyamar sebagai biro perpajakan nasional negara itu.
Kampanye, yang terdeteksi bulan lalu oleh Fortinet Fortiguard Labs, menandai keberangkatan dari rantai serangan sebelumnya yang telah memanfaatkan aplikasi terkait permainan berbahaya.
“Pengirim mengklaim bahwa file berbahaya yang terlampir adalah daftar perusahaan yang dijadwalkan untuk inspeksi pajak dan meminta penerima untuk meneruskan informasi tersebut ke bendahara perusahaan mereka,” kata peneliti keamanan Pei Han Liao dalam sebuah laporan yang dibagikan dengan berita peretas.
Lampiran meniru dokumen resmi dari Kementerian Keuangan, mendesak penerima untuk mengunduh daftar perusahaan yang dijadwalkan untuk inspeksi pajak.
Namun pada kenyataannya, daftar ini adalah file zip yang berisi DLL berbahaya (“lastBld2base.dll”) yang meletakkan dasar untuk tahap serangan berikutnya, yang mengarah ke pelaksanaan shellcode yang bertanggung jawab untuk mengunduh modul Winos 4.0 dari server jarak jauh (“206.238.221[.]60 “) Untuk mengumpulkan data yang sensitif.
Komponen, yang digambarkan sebagai modul login, mampu mengambil tangkapan layar, penekanan tombol logging, mengubah konten clipboard, memantau perangkat USB yang terhubung, menjalankan shellcode, dan memungkinkan pelaksanaan tindakan sensitif (misalnya, CMD.exe) ketika keamanan meminta dari Kingsoft Security dan Huorgong ditampilkan.
Fortinet mengatakan juga mengamati rantai serangan kedua yang mengunduh modul online yang dapat menangkap tangkapan layar WeChat dan bank online.
Perlu dicatat bahwa set intrusi mendistribusikan malware Winos 4.0 telah ditugaskan Monikers Void Arachne dan Silver Fox, dengan malware juga tumpang tindih dengan akses jarak jauh lainnya Trojan yang dilacak sebagai Valleyrat.
“Mereka berdua berasal dari sumber yang sama: tikus GH0, yang dikembangkan di Cina dan bersumber terbuka pada tahun 2008,” Daniel Dos Santos, kepala penelitian keamanan di Vedere Labs Forescout, mengatakan kepada Hacker News.
“Winos dan Valleyrat adalah variasi tikus GH0 yang dikaitkan dengan Silver Fox oleh peneliti yang berbeda pada titik waktu yang berbeda. Winos adalah nama yang biasa digunakan pada tahun 2023 dan 2024 sementara sekarang Valleyrat lebih umum digunakan. Alat ini terus berkembang, dan memiliki kemampuan Trojan/tikus lokal serta server komando.
Valleyrat, pertama kali diidentifikasi pada awal 2023, baru-baru ini diamati menggunakan situs krom palsu sebagai saluran untuk menginfeksi pengguna berbahasa Cina. Skema unduhan drive-by yang serupa juga telah digunakan untuk memberikan tikus GH0st.
Selain itu, rantai serangan Winos 4.0 telah menggabungkan apa yang disebut installer Cleversoar yang dieksekusi melalui paket penginstal MSI yang didistribusikan sebagai perangkat lunak palsu atau aplikasi terkait game. Juga dijatuhkan bersama Winos 4.0 melalui Cleversoar adalah Nidhogg Rootkit open-source.
“Pemasang Cleversoar […] Memeriksa pengaturan bahasa pengguna untuk memverifikasi apakah mereka diatur ke Cina atau Vietnam, “Rapid7 dicatat pada akhir November 2024.” Jika bahasa tidak dikenali, penginstal berakhir, secara efektif mencegah infeksi. Perilaku ini sangat menunjukkan bahwa aktor ancaman terutama menargetkan korban di wilayah ini. “
Pengungkapan itu datang karena Silver Fox Apt telah dikaitkan dengan kampanye baru yang memanfaatkan versi trojanisasi pemirsa Philips Dicom untuk menggunakan Valleyrat, yang kemudian digunakan untuk menjatuhkan keylogger, dan penambang cryptocurrency di komputer korban. Khususnya, serangan telah ditemukan menggunakan versi rentan dari driver Truesight untuk menonaktifkan perangkat lunak antivirus.
“Kampanye ini memanfaatkan pemirsa DICOM yang trojanisasi sebagai umpan untuk menginfeksi sistem korban dengan pintu belakang (Valleyrat) untuk akses dan kendali jarak jauh, keylogger untuk menangkap aktivitas pengguna dan kredensial, dan penambang crypto untuk mengeksploitasi sumber daya sistem untuk keuntungan finansial,” kata Forescout.
