今年6月资安业者趋势科技揭露黑客组织Void Arachne的攻击行动，他们锁定简体中文用户，声称提供中国常见的应用程序，以及人工智能工具，意图在受害电脑部署恶意程序Winos 4.0，如今攻击手法出现变化。

资安业者Fortinet指出，他们看到最新一波的Winos 4.0攻击行动，攻击者声称提供游戏安装程序与优化工具，一旦用户运行安装，电脑就会从特定的网域搜索BMP图档，并使用XOR算法解码，取得名为you.dll的程序库文件。

接着，这个DLL文件会设置攻击行动的运行环境，并从前述网域下载3个伪装成BMP图片的文件，然后存储为TMP档。

攻击者利用密码解开其中一个TMP档，取得无害的u72kOdQ.exe、MSVCP140.dll、VCRUNTIME140.dll，接着，他们使用XOR密钥处理另一个TMP档，解开恶意文件libcef.dll，最后利用从第3个TMP档得到的DLL程序库，将libcef.dll加载并注入Shell Code。特别的是，这个程序库的命名为「学籍系统」，根据这种文件命名的方式，研究人员推测黑客的目标很有可能是教育机构。

到了下个阶段，注入的Shell Code会加载特定的API，并搜索组态设置，然后创建C2连接。到此攻击者将Winos 4.0部署完成。接着，攻击者利用其中名为「上线模块」的DLL程序库，从C2服务器取得额外的代码，窜改受害电脑机码，同时更新C2的IP位址。

最终，攻击者使用另一个名为「登录模块」的DLL程序库，收集系统信息、监控杀毒软件运行状态、收集受害者浏览器的加密货币钱包延伸套件数据，并且监控剪贴板内容、截取屏幕画面，然后偷取特定文件并发送到外部。

针对这项恶意程序的发展，研究人员指出Winos 4.0已从原本趋势科技找到的后门程序，发展成能够搭配多种插件的恶意程序框架，功能已与渗透测试工具Cobalt Strike、Silver相当，能被用于控制受害电脑并具备多种功能。