Uma nova campanha está visando empresas em Taiwan com um malware conhecido como Winos 4.0, parte de e-mails de phishing que se passam pelo Bureau Nacional de Tributação do país.
A campanha, detectada no último mês pela Fortinet FortiGuard Labs, marca uma mudança em relação às cadeias de ataque anteriores que se aproveitavam de aplicativos maliciosos relacionados a jogos.
"O remetente alegou que o arquivo malicioso anexado era uma lista de empresas programadas para inspeção tributária e pediu ao destinatário para encaminhar as informações ao tesoureiro de sua companhia", disse o pesquisador de segurança Pei Han Liao em um relatório compartilhado.
O anexo imita um documento oficial do Ministério da Fazenda, instando o destinatário a baixar a lista de empresas agendadas para inspeção tributária.
Mas, na realidade, a lista é um arquivo ZIP contendo um DLL malicioso ("lastbld2Base.dll") que prepara o terreno para a próxima fase do ataque, levando à execução de shellcode responsável por baixar um módulo Winos 4.0 de um servidor remoto ("206.238.221[.]60") para coletar dados sensíveis.
O componente, descrito como um módulo de login, é capaz de tirar capturas de tela, registrar keystrokes, alterar o conteúdo da área de transferência, monitorar dispositivos USB conectados, executar shellcode e permitir a execução de ações sensíveis (por exemplo, cmd.exe) quando prompts de segurança da Kingsoft Security e Huorong são exibidos.
A Fortinet disse que também observou uma segunda cadeia de ataque que baixa um módulo online capaz de capturar screenshots do WeChat e bancos online.
É importante observar que o conjunto de intrusão que distribui o malware Winos 4.0 foi nomeado como Void Arachne e Silver Fox, com o malware também tendo sobreposições com outro trojan de acesso remoto conhecido como ValleyRAT.
"Ambos são derivados da mesma fonte: Gh0st RAT, que foi desenvolvido na China e disponibilizado como open-source em 2008", disse Daniel dos Santos, chefe de pesquisa de segurança na Forescout's Vedere Labs.
Winos e ValleyRAT são variações do Gh0st RAT atribuídas a Silver Fox por diferentes pesquisadores em momentos distintos.
Winos era um nome comumente usado em 2023 e 2024, enquanto agora ValleyRAT é mais usado.
A ferramenta está em constante evolução, e possui capacidades locais de Trojan/RAT bem como um servidor de comando e controle. ValleyRAT, identificado pela primeira vez no início de 2023, foi recentemente observado usando sites falsos do Chrome como um meio de infectar usuários que falam chinês.
Esquemas similares de drive-by download também foram empregados para entregar o Gh0st RAT.
Além disso, as cadeias de ataque do Winos 4.0 incorporaram o que é chamado de instalador CleverSoar, que é executado por meio de um pacote de instalador MSI distribuído como software falso ou aplicativos relacionados a jogos.
Também juntamente com o Winos 4.0, via CleverSoar, é solto o rootkit open-source Nidhogg.
"O instalador CleverSoar [...] verifica as configurações de idioma do usuário para verificar se estão definidas como chinês ou vietnamita", a Rapid7 observou no final de novembro de 2024.
Se o idioma não for reconhecido, o instalador termina, prevenindo efetivamente a infecção.
Esse comportamento sugere fortemente que o ator de ameaça está visando principalmente vítimas nessas regiões.
A divulgação vem à medida que o APT Silver Fox foi vinculado a uma nova campanha que aproveita versões trojanizadas de visualizadores DICOM da Philips para implantar ValleyRAT, que é então usado para soltar um keylogger e um minerador de criptomoedas nos computadores das vítimas.
Notavelmente, os ataques foram encontrados utilizando uma versão vulnerável do driver TrueSight para desabilitar softwares antivírus.
"Esta campanha se aproveita dos visualizadores DICOM trojanizados como iscas para infectar sistemas de vítimas com um backdoor (ValleyRAT) para acesso e controle remotos, um keylogger para capturar atividade do usuário e credenciais, e um minerador de cripto para explorar recursos do sistema para ganho financeiro", disse a Forescout.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...