Una nueva campaña se dirige a empresas en Taiwán con malware conocido como Winos 4.0 Como parte de los correos electrónicos de phishing disfrazados de la Oficina Franquista de Impuestos del país.
La campaña, detectada el mes pasado por Fortinet Fortiguard Labs, marca una desviación de las cadenas de ataque anteriores que han diligente las aplicaciones maliciosas relacionadas con el repertorio.
«El remitente afirmó que el archivo taimado adjunto era una directorio de empresas programadas para la inspección de impuestos y le pidió al receptor que envíe la información al tesorero de su compañía», dijo el investigador de seguridad Pei Han Liao en un referencia compartido con The Hacker News.
El archivo adjunto imita un documento oficial del Tarea de Finanzas, instando al destinatario a descargar la directorio de empresas programadas para la inspección de impuestos.
Pero en verdad, la directorio es un archivo zip que contiene una DLL maliciosa («lastbld2base.dll») que sienta las bases para la próxima etapa de ataque, lo que lleva a la ejecución de shellcode que es responsable de descargar un módulo Winos 4.0 de un servidor remoto («206.238.221 (.) 60») para resumir datos sensibles.
El componente, descrito como un módulo de inicio de sesión, es capaz de tomar capturas de pantalla, registrar pulsaciones de teclas, alterar el contenido del portapapeles, monitorear los dispositivos USB conectados, ejecutar shellcode y permitir la ejecución de acciones confidenciales (por ejemplo, cmd.exe) cuando se muestra la seguridad de la seguridad de Kingsoft y Huorong.
Fortinet dijo que asimismo observó una segunda dependencia de ataque que descarga un módulo en secante que puede capturar capturas de pantalla de WeChat y bancos en secante.
Vale la pena señalar que el conjunto de intrusos que distribuye el malware Winos 4.0 se le ha asignado a los apodos voides Arachne y Silver Fox, con el malware que asimismo se superpone con otro troyano de llegada remoto rastreado como Valleyrat.
«Uno y otro se derivan de la misma fuente: GH0st RAT, que se desarrolló en China y de código libre en 2008», dijo Daniel Dos Santos, caudillo de investigación de seguridad de Vedere Labs de ForeCout, a The Hacker News.
«Winos y Valleyrat son variaciones de la rata GH0st atribuidas a Silver Fox por diferentes investigadores en diferentes puntos en el tiempo. Winos fue un nombre comúnmente utilizado en 2023 y 2024, mientras que ahora Valleyrat se usa más comúnmente. La aparejo está evolucionando constantemente, y tiene las capacidades locales de Troyano/RAT, así como un servidor de comando y control».
Valleyrat, identificado por primera vez a principios de 2023, se ha observado recientemente utilizando sitios falsos de Chrome como un conducto para infectar a los usuarios de deje china. Todavía se han empleado esquemas de descarga similares para entregar GH0ST RAT.
Encima, las cadenas de ataque de Winos 4.0 han incorporado lo que se candela un instalador de Cleversoar que se ejecuta mediante un paquete de instalador MSI distribuido como software fariseo o aplicaciones relacionadas con los juegos. Todavía se ha caído adyacente a Winos 4.0 a través de Cleververoar el RootKit Nidhogg de código libre.
«El instalador de Cleversoar (…) verifica la configuración del idioma del sucesor para demostrar si se establece en chino o vietnamita», señaló Rapid7 a fines de noviembre de 2024. «Si el idioma no se reconoce, el instalador termina, evitando efectivamente la infección. Este comportamiento sugiere fuertemente que el actor amenazado está dirigiendo principalmente a las víctimas en estos regiones».
La divulgación se produce cuando el Silver Fox APT se ha vinculado a una nueva campaña que aprovecha las versiones troyanizadas de los espectadores de Philips DiCom para implementar Valleyrat, que luego se usa para soltar un keylogger y un minero de criptomonedas en las computadoras víctimas. En particular, se ha antitético que los ataques utilizan una traducción pasivo del regulador de truesight para deshabilitar el software antivirus.
«Esta campaña aprovecha a los televidentes de DICOM troyanizados como señuelos para infectar a los sistemas de víctimas con una puerta trasera (ValleyRat) para el llegada y el control remoto, un keylogger para capturar la actividad y las credenciales de los usuarios, y un minero criptográfico para explotar los medios del sistema para obtener ganancias financieras», dijo Foresout.
