今年6月資安業者趨勢科技揭露駭客組織Void Arachne的攻擊行動，他們鎖定簡體中文用戶，聲稱提供中國常見的應用程式，以及人工智慧工具，意圖在受害電腦部署惡意程式Winos 4.0，如今攻擊手法出現變化。

資安業者Fortinet指出，他們看到最新一波的Winos 4.0攻擊行動，攻擊者聲稱提供遊戲安裝程式與最佳化工具，一旦使用者執行安裝，電腦就會從特定的網域搜尋BMP圖檔，並使用XOR演算法解碼，取得名為you.dll的程式庫檔案。

接著，這個DLL檔案會設置攻擊行動的執行環境，並從前述網域下載3個偽裝成BMP圖片的檔案，然後儲存為TMP檔。

攻擊者利用密碼解開其中一個TMP檔，取得無害的u72kOdQ.exe、MSVCP140.dll、VCRUNTIME140.dll，接著，他們使用XOR金鑰處理另一個TMP檔，解開惡意檔案libcef.dll，最後利用從第3個TMP檔得到的DLL程式庫，將libcef.dll載入並注入Shell Code。特別的是，這個程式庫的命名為「學籍系統」，根據這種檔案命名的方式，研究人員推測駭客的目標很有可能是教育機構。

到了下個階段，注入的Shell Code會載入特定的API，並搜尋組態設定，然後建立C2連線。到此攻擊者將Winos 4.0部署完成。接著，攻擊者利用其中名為「上線模組」的DLL程式庫，從C2伺服器取得額外的程式碼，竄改受害電腦機碼，同時更新C2的IP位址。

最終，攻擊者使用另一個名為「登入模組」的DLL程式庫，收集系統資訊、監控防毒軟體執行狀態、收集受害者瀏覽器的加密貨幣錢包延伸套件資料，並且監控剪貼簿內容、擷取螢幕畫麵，然後偷取特定檔案並傳送到外部。

針對這項惡意程式的發展，研究人員指出Winos 4.0已從原本趨勢科技找到的後門程式，發展成能夠搭配多種外掛的惡意程式框架，功能已與滲透測試工具Cobalt Strike、Silver相當，能被用於控制受害電腦並具備多種功能。