研究人员发现专门锁定中国用户的后门程序Winos 4.0攻击行动,黑客组织Void Arachne借由提供VPN软件、Deepfake生成式人工智能程序,借由搜索引擎广告,以及Telegram频道来散布恶意软件
由于中国政府对于民众上网严格监管,因此,使用VPN服务翻越当局防火长城(Great Firewall)的情况,也相当常见。黑客提供这样的工具,确实相当容易吸引用户上当,但在研究人员提及的攻击行动里,我们认为对方利用Telegram散布人工智能工具情况,更值得留意。
因为研究人员发现,这些黑客同时也通过多个中文Telegram频道散布上述加料的VPN应用程序,循线进一步调查,对方竟借由这些频道提供利用Deepfake技术的人工智能应用程序。
这些应用程序大致可分成两种类型,其中一种是一键脱衣的色情图片及视频生成工具(Nudifier AI),另一种则是换脸及变声的工具。
其中,又以脱衣软件最值得留意,因为这样的工具很容易引诱男性用户上钩,他们声称可以让用户只要花费一包香烟的钱,就能看到心仪的女同事、女同学裸体的样貌。
为了让用户随时能取得这些Deepfake软件,这些黑客还在频道顶部放置恶意MSI文件下载的链接,甚至提供试用密码,并要求下载文件前必须关闭杀毒软件。
而对于黑客在安装程序埋入的恶意程序,研究人员指出,一旦用户运行安装文件,就会窜改防火墙规则,将恶意软件相关网站加入白名单,然后启动VBS脚本,发送名为Winos 4.0的C2框架,以及与C2服务器创建连接的程序。
黑客使用C++打造Winos 4.0,此程序能运行文件管理、控制网络摄影机、屏幕截屏、通过麦克风录音、侧录键盘输入内容,甚至能发动DDoS攻击、存取远程Shell。此外,这个恶意程序还能通过插件程序增加破坏威力。
