黑客利用正版软件安装程序投递恶意框架Winos 4.0

网络安全研究人员近日披露，黑客组织自2025年2月起通过伪造QQ浏览器、LetsVPN等正版软件的NSIS安装程序，向中文用户投递新型多阶段恶意框架Winos 4.0（又称ValleyRAT）。该攻击首先捆绑合法应用的木马化安装程序释放Shellcode，通过反射DLL注入执行Catena加载器；随后连接香港C2服务器（TCP 18856 HTTPS 443端口），下载基于Gh0st RAT改良的Winos 4.0模块，支持插件化数据窃取、远程Shell及DDoS攻击；最终通过计划任务维持持久性，并针对性对抗奇虎360安全软件。