FortiGuard Labs發現針對中國臺灣地區的釣魚攻擊，旨在傳播Winos 4.0惡意軟件。

Fortinet的FortiGuard Labs近日披露了一起針對中國臺灣企業的新型惡意軟件攻擊活動的詳細信息。研究人員在2025年1月發現了這一攻擊活動，并在周四（2月27日）發布報告前與Hackread分享了這一發現。

該活動使用了高度先進的惡意軟件框架，被稱為Winos 4.0。攻擊具有較高的嚴重性，采用了多階段感染過程，最終目的是竊取敏感信息，以用于未來的惡意活動。

攻擊手法：假冒稅務局發送釣魚郵件

進一步調查顯示，該惡意軟件專門針對Microsoft Windows平臺展開攻擊。攻擊者精心設計了一封偽裝成臺灣國家稅務局的釣魚郵件，作為初始攻擊媒介。該郵件謊稱包含即將接受稅務檢查的公司名單，并要求收件人將信息轉發給財務部門。郵件附件偽裝成財政部的正式文件，實際包含一個用于下一攻擊階段的惡意DLL文件。

欺騙性PDF文件（來源：Fortinet）

攻擊通過一系列可執行文件和動態鏈接庫（DLL）文件展開。ZIP文件中包含按順序執行的文件：20250109.exe、ApowerREC.exe以及lastbld2Base.dll。

研究人員在博客中解釋道：“20250109.exe最初是一個啟動器，用于執行./app/ProgramFiles中的實際ApowerREC.exe。攻擊者在ZIP文件中創建了相同的文件夾結構，并使用加載器替換了ApowerREC.exe。假冒的ApowerREC.exe僅調用從lastbld2Base.dll導入的函數?！?/p>

該DLL解密并執行包含配置數據（如命令與控制（C2）服務器地址）的shellcode。shellcode進一步實現了可選功能，包括權限提升、反沙箱技術（例如，通過多次截圖檢測用戶活動，若未檢測到用戶交互則延遲執行）以及隱藏進程窗口。惡意軟件從C2服務器下載加密的shellcode和核心Winos 4.0模塊，這些數據存儲于系統注冊表中，以備后續解密和執行。

攻擊流程（來源：Fortinet）

惡意軟件功能：持久化與用戶監控

該模塊啟動多個惡意任務，例如建立持久化、繞過用戶賬戶控制（UAC）、收集系統信息（包括計算機名稱、操作系統版本及已安裝的殺毒軟件）以及禁用受感染系統上的屏保和節能功能。

此外，該惡意軟件還主動監控和操作用戶活動，包括捕獲截圖、記錄鍵盤輸入和剪貼板內容（甚至記錄連接的USB設備的插入和移除日志），并根據預定義規則修改剪貼板數據。它還可以禁用安全軟件的網絡連接。觀察到的其他攻擊鏈涉及Python腳本和進一步的shellcode注入技術，這些變化展示了Winos 4.0框架的靈活性和適應性。

防范措施：警惕釣魚郵件與增強防護

要防范像Winos 4.0這類復雜的惡意軟件，需要高度警惕未經請求的郵件，尤其是帶有附件或鏈接的郵件，避免打開郵件附帶的壓縮文件（如ZIP、RAR），因為它們通常用于傳播惡意軟件。同時，啟用實時掃描功能，可以在威脅感染系統之前進行檢測和攔截。

專家觀點

“這次攻擊遵循了經典的釣魚模式，但在利用可信機構引發反應方面增添了一些趣味，”SlashNext的現場首席技術官J. Stephen Kowski解釋道?！巴{行為者巧妙地利用了人類心理，通過制造緊迫感和好奇心，使收件人更有可能下載惡意內容?！?/p>