HoldingHands RAT、Gh0stCringe惡意軟體Winos 4.0以國稅局查稅為幌子在臺散布的攻擊事故仍在持續蔓延，資安業者Fortinet指出，他們自3月看到駭客使用更為複雜的手段從事相關活動，並開始散布新的惡意軟體HoldingHands RAT（Gh0stBins）、Gh0stCringe
今年1月資安業者Fortinet發現惡意程式Winos 4.0的活動向臺灣擴散，駭客假借國稅局的名義寄送釣魚信，以抽查稅務為由鎖定公司財務主管而來，後續資安署也在2月份的資通安全網路月報提及類似的攻擊事故。如今研究人員提出警告，這起攻擊活動似乎仍在持續進行。
Fortinet持續追蹤相關攻擊事故，於今年3月找到後續活動的惡意程式與釣魚郵件，但駭客不光冒充國稅局或財政部，也有佯裝其他政府部門或商業夥伴的情況，他們使用稅收、養老金、發票等名目為誘餌，引誘收信人開啟附件或是連結，一旦收信人照做，電腦就有可能被植入惡意程式，除了Winos 4.0，這些駭客也使用源自於Gh0st RAT的惡意軟體HoldingHands RAT（Gh0stBins）與Gh0stCringe。
在研究人員公布的釣魚信當中，駭客聲稱是海關總署，以進出口稅務通知為由，引誘收信人開啟PDF附件，並點選檔案內容的連結來觸發攻擊鏈。
另一種誘餌是以財政部的名義，佯稱營業稅電子申報繳稅程式發布新版並提供下載，駭客甚至在釣魚信裡提及，部分電腦安裝過程會出現系統不相容的警示訊息，要求使用者停用防毒軟體後再次執行安裝。
然而不論上述的那一種釣魚信，收信人都會被導向特定的檔案下載網頁，要求下載受到密碼保護的ZIP壓縮檔，其內容包含合法的執行檔、DLL檔案、經加密處理的Shell Code，以及對應的惡意程式載入工具，一旦依照指示開啟特定檔案，電腦就可能被植入前述的惡意軟體。
針對近期的調查結果，Fortinet認為駭客在攻擊鏈加入許多Shell Code及惡意程式載入工具，使得整個攻擊流程變得更為複雜，也可能更難察覺異狀。

資料來源: https://www.ithome.com.tw/news/169600