Новая угроза: вредоносная кампания Winos4.0 атакует Тайвань

В январе 2025 года FortiGuard Labs представила отчет о вредоносной кампании, нацеленной на тайваньские компании. Злоумышленники использовали сложное вредоносное ПО Winos4.0, которое при помощи социальной инженерии сумело обмануть множество пользователей.
Механизм атаки
Кампания использовала метод социальной инженерии — злоумышленники выдали себя за сотрудников Национального налогового бюро Тайваня в электронном письме. Оно содержало ссылку на зараженный ZIP-файл, замаскированный под список налоговых проверок. Запуск поддельного исполняемого файла ApowerREC.exe активирует загрузку необходимых DLL-файлов, включая lastbld2Base.dll, который представляет собой основную вредоносную полезную нагрузку.
Функции вредоносного ПО
DLL-библиотека lastbld2Base.dll выполняет расшифровку своего кода и извлекает шелл-код, содержащий конфиденциальную информацию, как, например:
- IP-адрес сервера управления (C2)
- Параметры реестра
Более того, Winos4.0 реализует ряд передовых технологий, включая:
- Создание нескольких потоков для выполнения различных задач
- Захват экрана
- Ведение кейлогга
- Мониторинг USB-устройств
Методы обхода защиты
Для избежания обнаружения вредоносная программа использует методы обхода контроля учетных записей пользователей (UAC), манипулируя различными разделами реестра. Она обеспечивает постоянный мониторинг USB-соединений, уведомляя о добавлении или удалении устройств с описаниями на китайском языке.
Архитектура и модульность
Дополнительно, вредоносный компонент с именем The10.exe, скомпилированный из скрипта на Python, облегчает дальнейшую деятельность с помощью Python311.dll. Это подчеркивает модульный характер Winos4.0, позволяя различным компонентам использовать похожие вредоносные схемы под разными названиями.
Заключение и рекомендации
Winos4.0 использует разнообразные домены для своих операций, однако в текущей атаке в основном применялся домен 9010.360sdgg.com. Широкое применение разделов реестра предоставляет значительную гибкость работы вредоносного ПО и потенциально полезную информацию для криминалистов.
FortiGuard Labs продолжает отслеживать эти направления атак, стремясь усилить защитные меры и защитить потенциальные цели от новых угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



