安全公司稱黑客組織 Void Arachne 以提供網(wǎng)游工具為名傳播 Winos 4.0 木馬

IT之家 11 月 9 日消息，安全公司 Fortinet 發(fā)布報告，聲稱有黑客組織 Void Arachne 以提供各類網(wǎng)游工具軟件名義向用戶發(fā)動攻擊，這些所謂軟件實際上內(nèi)置惡意腳本，可令黑客遠程部署 Winos 4.0 木馬，一旦用戶運行相關(guān)工具便會中招。

IT之家參考報告獲悉，相關(guān)黑客打著提供“游戲安裝程序”和“系統(tǒng)優(yōu)化工具”免費下載名義分發(fā)惡意軟件，受害者設(shè)備在打開軟件后便會通過黑客架設(shè)的服務(wù)器并下載一系列 BMP 圖片文件，之后利用 XOR 算法解碼這些圖片文件，獲得名為“you.dll”的惡意 DLL 文件。

之后 you.dll 會根據(jù)受害者設(shè)備情況設(shè)置攻擊環(huán)境，并從指定域名下載三個偽裝成 BMP 圖片的文件，保存為 TMP 文件，接著從相關(guān) TMP 文件中解壓出惡意文件 libcef.dll，該 DLL 主要與黑客架設(shè)的服務(wù)器進行 C2 連接部署 Winos 4.0 木馬，在設(shè)備成功部署上木馬后，黑客即可遠程執(zhí)行代碼，甚至允許黑客直接監(jiān)控用戶剪貼板內(nèi)容及設(shè)備桌面。

就此，安全公司表示，用戶應(yīng)當(dāng)謹慎對待網(wǎng)絡(luò)上所謂工具軟件，應(yīng)當(dāng)以官方渠道為主，避免中招。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。