Hackers do Winos 4.0 se expandem para o Japão e a Malásia com novo malware

Hackers do Winos 4.0 se expandem para o Japão e a Malásia com novo malware

Hackers do Winos 4.0 se expandem para o Japão e a Malásia com novo malware

Os hackers do Winos 4.0 se expandem da China, Taiwan para o Japão, Malásia usando PDFs falsos do Ministério das Finanças para espalhar o malware HoldingHands RAT.

Os agentes de ameaças por trás do Winos 4.0 (ValleyRAT) expandiram seus ataques da China e Taiwan para o Japão e a Malásia, usando PDFs disfarçados de documentos do Ministério das Finanças para entregar malware.

Os invasores empregaram outro trojan de acesso remoto (RAT) rastreado como HoldingHands RAT (também conhecido como Gh0stBins).

A campanha contou com mensagens de phishing com PDFs que continham links maliciosos incorporados.

“A campanha se baseou em e-mails de phishing com PDFs que continham links maliciosos incorporados.” lê o relatório publicado pela Fortinet. “Esses arquivos se disfarçavam de documentos oficiais do Ministério das Finanças e incluíam vários links, além daquele que entregou o Winos 4.0.”

A maioria dos links maliciosos apontava para a Tencent Cloud, cujos IDs de conta exclusivos permitiam que os analistas rastreassem vários arquivos de phishing para os mesmos operadores de ameaças. Os invasores evoluíram do uso de links de armazenamento em nuvem para domínios personalizados contendo “tw”, sugerindo alvos focados em Taiwan. Um desses PDFs disfarçado de rascunho de regulamentação tributária taiwanesa redirecionou os usuários para um site em japonês que entregou uma carga útil do HoldingHands, vinculando ambas as campanhas por meio de um IP C2 compartilhado (156.251.17[.]9) e depurar o caminho “BackDoor.pdb”.

Os invasores assinaram digitalmente arquivos EXE para ignorar a detecção. Iscas adicionais de phishing do Word e HTML reutilizaram scripts maliciosos idênticos para hospedar cargas úteis em páginas dinâmicas, ocultando links de download em dados JSON para complicar a detecção. Uma análise mais aprofundada dos APPIDs da Tencent Cloud expôs uma infraestrutura de phishing mais ampla direcionada à China, que remonta a março de 2024, também distribuindo Winos 4.0 por meio de anexos do Excel.

Os pesquisadores da Fortinet vincularam os recentes ataques da Malásia a campanhas anteriores de Taiwan, descobrindo o uso do twczb[.]com que resolveu para o mesmo IP. A campanha usa páginas de phishing simples para entregar o HoldingHands por meio de um fluxo de vários estágios; ao contrário das variantes anteriores que descartavam arquivos EXE e deixavam artefatos, os estágios posteriores são acionados por meio do Agendador de Tarefas do Windows, complicando a detecção baseada em comportamento. A cadeia de ataques começa com um dokan2.dll mal-intencionado (um carregador de código shell chamado Dokany) e sw.dat, que executa verificações anti-VM, escalonamento de privilégios e descarta componentes (svchost.ini, TimeBrokerClient.dll, msvchost.dat system.dat) em C:WindowsSystem32. O instalador enumera processos para Norton, Avast e Kaspersky e descarta ou anula caso os encontre. O ator mata o Agendador de Tarefas para que sua reinicialização carregue o svchost, que então carrega TimeBrokerClient.dll.

A DLL primeiro verifica o nome do processo com um teste simples de soma ASCII e, em seguida, lê svchost.ini para encontrar o endereço de VirtualAlloc. A biblioteca descriptografa msvchost.dat no código shell e executa esse código na memória.
Em seguida, o código shell descriptografa system.dat para obter a carga útil do HoldingHands e confirma que ela está em execução na instância svchost que hospeda o Agendador de Tarefas.
Em seguida, ele lista as sessões de usuário ativas e copia o token de um usuário conectado. Usando esse token, ele inicia taskhostw.exe e injeta a carga útil nele. Por fim, ele observa o processo e reinjeta a carga útil se o processo for interrompido.

O malware HoldingHands parece ser o mesmo, mas os invasores adicionaram uma tarefa C2 que atualiza o IP do servidor gravando-o no registro. A chave de configuração permanece HKEY_CURRENT_USERSOFTWAREHHClient e o valor AdrrStrChar contém o IP. O novo comando IP-update é 0x15 e o comando kill/terminate foi alterado para 0x17 (anteriormente 0x15).

“Os agentes de ameaças continuam a confiar em iscas de phishing e evasão em camadas para entregar malware enquanto obscurecem suas atividades. No entanto, essas mesmas táticas fornecem pistas valiosas que ligam campanhas além das fronteiras”, conclui o relatório. “Seguindo a infraestrutura, a reutilização de código e os padrões de comportamento, o FortiGuard Labs conectou ataques na China, Taiwan, Japão e agora na Malásia e identificou a variante mais recente do HoldingHands no processo.”

Siga-me no Twitter:@securityaffairseLinkedineMastodonte

PierluigiPaganini

(Assuntos de Segurança–hacking,Winos 4.0)

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.