27 février 2025Ravie LakshmananIntelligence malveillante / menace

Une nouvelle campagne vise des sociétés à Taiwan avec des logiciels malveillants connus sous le nom Winos 4.0 Dans le cadre des e-mails de phishing se faisant passer pour le Bureau national fiscal du pays.

La campagne, détectée le mois dernier par Fortinet Fortiguard Labs, marque un écart par rapport aux chaînes d’attaque précédentes qui ont exploité des applications liées au jeu malveillantes.

“L’expéditeur a affirmé que le fichier malveillant joint était une liste des entreprises prévue pour l’inspection fiscale et a demandé au séquestre de transmettre les informations au trésorier de leur entreprise”, a déclaré le chercheur en sécurité Pei Han Liao dit Dans un rapport partagé avec le Hacker News.

La pièce jointe imite un document officiel du ministère des Finances, exhortant le destinataire à télécharger la liste des entreprises prévue pour l’inspection fiscale.

Cybersécurité

Mais en réalité, la liste est un fichier zip contenant une DLL malveillante (“lastbld2base.dll”) qui jette les bases de la prochaine étape d’attaque, conduisant à l’exécution de Shellcode qui est responsable du téléchargement d’un module WINOS 4.0 à partir d’un serveur distant (“206.238.221[.]60 “) pour la collecte de données sensibles.

Le composant, décrit comme un module de connexion, est capable de prendre des captures d’écran, de journaliser les touches, de modifier le contenu du presse-papiers, de surveiller les périphériques USB connectés, d’exécuter ShellCode et de permettre l’exécution d’actions sensibles (par exemple, CMD.EXE) lorsque les invites de sécurité de Kingsoft Security et Huorong sont affichées.

Fortinet a déclaré qu’il avait également observé une deuxième chaîne d’attaque qui télécharge un module en ligne Cela peut capturer des captures d’écran des banques WeChat et en ligne.

Il convient de noter que le ensemble d’intrusion La distribution des logiciels malveillants WinOS 4.0 a été attribué aux surnoms Void Arachne et Silver Fox, le malware se chevauchant également avec un autre cheval de Troie à distance suivi comme Valleyrat.

“Ils sont tous deux dérivés de la même source: Gh0st Rat, qui a été développé en Chine et open-open en 2008”, a déclaré Daniel Dos Santos, responsable de la recherche en matière de sécurité au Vedere Labs de ForeScout, au Hacker News.

“Winos et Valleyrat sont des variations de rat Gh0st attribuées à Silver Fox par différents chercheurs à différents moments. Winos était un nom couramment utilisé en 2023 et 2024 tandis que maintenant Valleyrat est plus couramment utilisé. L’outil évolue constamment, et il a à la fois des capacités locales de tro / rat ainsi qu’un serveur de commandement.”

Valléeidentifié pour la première fois au début de 2023, a été récemment observé à l’aide de faux sites chromés comme un conduit pour infecter les utilisateurs de langue chinoise. Des schémas de téléchargement similaires ont également été utilisés pour livrer GH0st Rat.

En outre, les chaînes d’attaque WINOS 4.0 ont incorporé ce qu’on appelle un programme d’installation intelligent qui est exécuté au moyen d’un package d’installation MSI distribué sous forme de faux logiciels ou d’applications liées au jeu. Aussi abandonné aux côtés de Winos 4.0 via SleverSoar est l’Open-source Nidhogg rootkit.

Cybersécurité

“Le programme d’installation de CleverSoar […] Vérifie les paramètres linguistiques de l’utilisateur pour vérifier s’ils sont définis sur chinois ou vietnamien “,” Rapid7 noté Fin novembre 2024. “Si la langue n’est pas reconnue, l’installateur se termine, empêchant efficacement les infections. Ce comportement suggère fortement que l’acteur de menace vise principalement les victimes dans ces régions.”

La divulgation intervient alors que l’Argent Fox APT a été lié à une nouvelle campagne qui exploite les versions trojanisées de Philips Dicom Visionneurs à déployer Valleyrat, qui est ensuite utilisé pour laisser tomber un Keylogger et un mineur de crypto-monnaie sur les ordinateurs victimes. Il a notamment trouvé que les attaques utilisent une version vulnérable du conducteur Truesight pour désactiver les logiciels antivirus.

“Cette campagne tire parti des téléspectateurs DICOM trojanisés comme des leurres pour infecter les systèmes de victimes par une porte dérobée (Valleyrat) pour un accès et un contrôle à distance, un keylogger pour capturer l’activité des utilisateurs et les informations d’identification, et un mineur cryptographique pour exploiter les ressources du système pour un gain financier”, prévoyant dit.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57