Una nuova campagna di attacchi informatici prende di mira le aziende di Taiwan con il malware noto come Winos 4.0, utilizzando email di phishing che si spacciano per comunicazioni ufficiali del Bureau Nazionale delle Tasse del paese. Questa campagna, rilevata il mese scorso dai Fortinet FortiGuard Labs, rappresenta un cambiamento rispetto alle precedenti catene di attacco che sfruttavano applicazioni malevole legate ai giochi.
Il mittente delle email affermava che il file malevolo allegato fosse un elenco di imprese programmate per un’ispezione fiscale, chiedendo al destinatario di inoltrare l’informazione al tesoriere della propria azienda. L’allegato imita un documento ufficiale del Ministero delle Finanze, esortando il destinatario a scaricare l’elenco delle imprese da ispezionare. Tuttavia, in realtà, l’elenco è un file ZIP contenente una DLL malevola (“lastbld2Base.dll”) che prepara il terreno per la fase successiva dell’attacco, portando all’esecuzione di shellcode responsabile del download di un modulo Winos 4.0 da un server remoto (“206.238.221[.]60”) per raccogliere dati sensibili.
Il componente, descritto come un modulo di login, è in grado di catturare schermate, registrare sequenze di tasti, alterare il contenuto degli appunti, monitorare i dispositivi USB collegati, eseguire shellcode e consentire l’esecuzione di azioni sensibili (ad esempio, cmd.exe) quando vengono visualizzati avvisi di sicurezza da Kingsoft Security e Huorong. Fortinet ha anche osservato una seconda catena di attacco che scarica un modulo online in grado di catturare schermate di WeChat e delle banche online.
È importante notare che il set di intrusioni che distribuisce il malware Winos 4.0 è stato assegnato ai nomi Void Arachne e Silver Fox, con il malware che si sovrappone anche a un altro trojan di accesso remoto tracciato come ValleyRAT. Entrambi derivano dalla stessa fonte: Gh0st RAT, sviluppato in Cina e reso open-source nel 2008. Winos e ValleyRAT sono variazioni di Gh0st RAT attribuite a Silver Fox da diversi ricercatori in momenti diversi. Winos era un nome comunemente usato nel 2023 e 2024, mentre ora ValleyRAT è più comunemente utilizzato. Lo strumento è in continua evoluzione e possiede sia capacità di Trojan/RAT locali che un server di comando e controllo.
ValleyRAT, identificato per la prima volta all’inizio del 2023, è stato recentemente osservato utilizzare siti falsi di Chrome come canale per infettare utenti di lingua cinese. Schemi simili di download drive-by sono stati impiegati anche per distribuire Gh0st RAT. Inoltre, le catene di attacco Winos 4.0 hanno incorporato quello che viene chiamato un installer CleverSoar, eseguito tramite un pacchetto di installazione MSI distribuito come software falso o applicazioni legate ai giochi. Insieme a Winos 4.0, tramite CleverSoar, viene distribuito anche il rootkit open-source Nidhogg.
L’installer CleverSoar verifica le impostazioni della lingua dell’utente per controllare se sono impostate su cinese o vietnamita. Se la lingua non è riconosciuta, l’installazione non procede. Questo dettaglio è stato notato da Rapid7 a fine novembre 2024.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!
