今年6月资安业者趋势科技揭露,攻击者声称提供游戏安装程式与最佳化工具,一旦使用者执行安装,电脑就会从特定的网域搜寻BMP图档,并使用XOR演算法解码,取得名为you.dll的程式库档案。
接著,这个DLL档案会设置攻击行动的执行环境,并从前述网域下载3个伪装成BMP图片的档案,然后储存为TMP档。
攻击者利用密码解开其中一个TMP档,取得无害的u72kOdQ.exe、MSVCP140.dll、VCRUNTIME140.dll,接著,他们使用XOR金钥处理另一个TMP档,解开恶意档案libcef.dll,最后利用从第3个TMP档得到的DLL程式库,将libcef.dll载入并注入Shell Code。特别的是,这个程式库的命名为「学籍系统」,根据这种档案命名的方式,研究人员推测骇客的目标很有可能是教育机构。
到了下个阶段,注入的Shell Code会载入特定的API,并搜寻组态设定,然后建立C2连线。到此攻击者将Winos 4.0部署完成。接著,攻击者利用其中名为「上线模块」的DLL程式库,从C2伺服器取得额外的程式码,窜改受害电脑机码,同时更新C2的IP位址。
最终,攻击者使用另一个名为「登录模块」的DLL程式库,收集系统资讯、监控防毒软体执行状态、收集受害者浏览器的加密货币钱包延伸套件资料,并且监控剪贴簿内容、截取萤幕画面,然后偷取特定档案并传送到外部。
针对这项恶意程式的发展,研究人员指出Winos 4.0已从原本趋势科技找到的后门程式,发展成能够搭配多种外挂的恶意程式框架,功能已与渗透测试工具Cobalt Strike、Silver相当,能被用于控制受害电脑并具备多种功能。