یک کمپین جدید توسط که Fortinet FortiGuard شناسایی شد، شرکتهای تایوان را با بدافزاری تحت عنوان Winos 4.0، به عنوان بخشی از ایمیلهای فیشینگ که به عنوان اداره مالیات ملی کشور معرفی میشوند، هدف قرار داده است.
این کمپین نشان دهنده انحراف از زنجیرههای حمله قبلی است که از برنامههای مخرب مرتبط با بازی استفاده میکردند. فرستنده ادعا کرد که فایل مخرب پیوست لیستی از شرکتهای برنامه ریزی شده برای بازرسی مالیاتی است و از گیرنده درخواست کرد اطلاعات را به خزانه دار شرکت خود ارسال کند. پیوست به تقلید از سند رسمی از وزارت دارایی است که از گیرنده درخواست میکند تا فهرست شرکتهای برنامهریزی شده برای بازرسی مالیاتی را دانلود کند. اما در واقعیت، این لیست یک فایل ZIP حاوی یک DLL مخرب (“lastbld2Base.dll”) است که زمینه را برای مرحله حمله بعدی فراهم میکند و منجر به اجرای شِلکد میشود که مسئول دانلود ماژول Winos 4.0 از یک سرور راه دور برای جمع آوری دادههای حساس است. این مؤلفه که به عنوان یک ماژول ورود توصیف میشود، قادر به گرفتن اسکرینشات، ثبت ضربههای کلید، تغییر محتوای کلیپبورد، نظارت دستگاههای USB متص، اجرای شِلکد و انجام اقدامات حساس (مانند cmd.exe) هنگام نمایش درخواستهای امنیتی از Kingsoft Security و Huorong است.
