11月9日,安全公司发布的报告指出,黑客组织VoidArachne利用提供各类网游工具软件的名义向用户发动攻击。这些所谓的软件实际上内置了恶意脚本,可以远程部署Winos4.0木马。一旦用户运行相关工具,就会中招。
据相关报告显示,这些黑客以提供“游戏安装程序”和“系统优化工具”的名义分发恶意软件。受害者设备在打开软件后会通过黑客设置的服务器下载一系列BMP图片文件,并利用XOR算法解码这些图片文件,获得名为“you.dll”的恶意DLL文件。之后,该文件会根据受害者设备情况设置攻击环境,并从指定域名下载三个伪装成BMP图片的文件保存为TMP文件。接着,在相关TMP文件中解压出恶意文件libcef.dll。该DLL主要与黑客架设的服务器进行C2(双向通信)连接,并部署Winols4.0木马。成功部署木马后,黑客可以远程执行代码甚至直接监控用户剪贴板内容和设备桌面。
安全公司提醒用户谨慎对待网络上的所谓工具软件,应当以官方渠道为主,避免中招。同时,请大家保持警惕并及时更新防护软件以保护自己的信息安全。