Получите, распишитесь. Как поддельное письмо о налогах открывает дверь шпионам
NewsMakerЗлоумышленники придумали, как пробраться внутрь без лишнего шума.
В Тайване зафиксировали серию целевых атак с использованием обновлённой версии вредоносного инструмента Winos 4.0, также известного как ValleyRat. Кампании строятся вокруг фишинговых писем и поддельных документов, которые маскируются под официальные уведомления о налоговых проверках и электронных счетах. По данным специалистов подразделения FortiGuard Labs, атаки отличаются продуманной инфраструктурой и активным применением методов обхода защитных механизмов Windows.
Злоумышленники рассылают архивы с файлами, оформленными как налоговые документы. Внутри находится ярлык LNK и приманка в виде безобидного файла. После запуска ярлык вызывает системный интерпретатор команд и загружает следующий этап атаки с внешнего домена. Для маскировки используется переименование штатной утилиты curl.exe, что помогает обойти простую фильтрацию по имени файла. Загруженный установщик извлекает скрытый исполняемый файл и размещает его в каталоге ProgramData, обеспечивая последующую загрузку Winos 4.0 и драйвера, который помогает скрыть активность.
Во второй волне атак применили иной подход. Вместо ярлыков распространяются архивы с легитимным приложением и вредоносной библиотекой, которая подгружается через механизм DLL Sideloading . Ссылки в письмах имитируют официальные адреса налоговых органов Тайваня, однако ведут на облачные хранилища в материковом Китае. Анализ отладочных путей внутри вредоносной библиотеки выявил упоминание проекта «大馬專案(二)», что указывает на структурированную организацию работы атакующей группы.
После закрепления в системе Winos 4.0 проверяет наличие прав администратора и при необходимости обходит контроль учётных записей через комбинацию вызовов службы AppInfo и перехвата Debug Object. Затем используется техника Bring Your Own Vulnerable Driver. В систему загружается подписанный драйвер wsftprm.sys, уязвимости которого позволяют получить привилегии уровня ядра и отключить защитные средства.
В Тайване зафиксировали серию целевых атак с использованием обновлённой версии вредоносного инструмента Winos 4.0, также известного как ValleyRat. Кампании строятся вокруг фишинговых писем и поддельных документов, которые маскируются под официальные уведомления о налоговых проверках и электронных счетах. По данным специалистов подразделения FortiGuard Labs, атаки отличаются продуманной инфраструктурой и активным применением методов обхода защитных механизмов Windows.
Злоумышленники рассылают архивы с файлами, оформленными как налоговые документы. Внутри находится ярлык LNK и приманка в виде безобидного файла. После запуска ярлык вызывает системный интерпретатор команд и загружает следующий этап атаки с внешнего домена. Для маскировки используется переименование штатной утилиты curl.exe, что помогает обойти простую фильтрацию по имени файла. Загруженный установщик извлекает скрытый исполняемый файл и размещает его в каталоге ProgramData, обеспечивая последующую загрузку Winos 4.0 и драйвера, который помогает скрыть активность.
Во второй волне атак применили иной подход. Вместо ярлыков распространяются архивы с легитимным приложением и вредоносной библиотекой, которая подгружается через механизм DLL Sideloading . Ссылки в письмах имитируют официальные адреса налоговых органов Тайваня, однако ведут на облачные хранилища в материковом Китае. Анализ отладочных путей внутри вредоносной библиотеки выявил упоминание проекта «大馬專案(二)», что указывает на структурированную организацию работы атакующей группы.
После закрепления в системе Winos 4.0 проверяет наличие прав администратора и при необходимости обходит контроль учётных записей через комбинацию вызовов службы AppInfo и перехвата Debug Object. Затем используется техника Bring Your Own Vulnerable Driver. В систему загружается подписанный драйвер wsftprm.sys, уязвимости которого позволяют получить привилегии уровня ядра и отключить защитные средства.