Il gruppo di cyber attaccanti noto come Silver Fox APT ha recentemente utilizzato il malware Winos 4.0 per condurre attacchi contro organizzazioni taiwanesi. Questa campagna di attacco è stata scoperta da Fortinet FortiGuard Labs e rappresenta un cambiamento rispetto alle precedenti catene di attacco che sfruttavano applicazioni malevole legate ai giochi. Gli attacchi sono stati orchestrati attraverso email di phishing che si spacciavano per comunicazioni ufficiali del National Taxation Bureau di Taiwan. Il mittente dell'email affermava che il file allegato contenesse una lista di imprese programmate per un'ispezione fiscale e chiedeva al destinatario di inoltrarlo al tesoriere della propria azienda.

L'allegato, invece di essere un documento ufficiale, era un file ZIP che conteneva una DLL malevola denominata "lastbld2Base.dll", che avviava la seconda fase dell'attacco. Questa DLL eseguiva poi shellcode per scaricare un modulo Winos 4.0 da un server remoto, utilizzato per raccogliere dati sensibili. Il modulo è in grado di catturare schermate, registrare i tasti digitati, modificare il contenuto degli appunti, monitorare dispositivi USB collegati ed eseguire azioni sensibili quando vengono visualizzati avvisi di sicurezza.

Fortinet ha anche osservato una seconda catena di attacco che scarica un modulo online in grado di catturare schermate di WeChat e di banche online. Il set di intrusioni, che distribuisce il malware Winos 4.0, è stato identificato anche con i nomi Void Arachne e Silver Fox. Il malware è sovrapposto ad un altro trojan di accesso remoto noto come ValleyRAT, entrambi derivati dal Gh0st RAT sviluppato in Cina e reso open-source nel 2008.

ValleyRAT è stato recentemente osservato utilizzare falsi siti di Chrome come canale d'infezione per utenti di lingua cinese. Inoltre, le catene di attacco di Winos 4.0 hanno incorporato un installer chiamato CleverSoar, eseguito tramite un pacchetto MSI distribuito come software fasullo o applicazioni legate ai giochi. CleverSoar verifica le impostazioni della lingua dell'utente, terminando l'installazione se la lingua non è riconosciuta, il che suggerisce che l'attore della minaccia stia mirando principalmente a vittime nelle regioni cinesi e vietnamite.

Infine, la rivelazione di questa campagna coincide con un'altra operazione della Silver Fox APT che utilizza versioni trojanizzate di visualizzatori DICOM per distribuire ValleyRAT, un keylogger e un cryptominer sui computer delle vittime. Gli attacchi sfruttano una versione vulnerabile del driver TrueSight per disabilitare il software antivirus.