Pesquisadores de segurança cibernética alertam que a chamada estrutura de comando e controle (C&C) Vencedores distribuído em aplicativos relacionados a jogos, como ferramentas de instalação, aceleradores e ferramentas de desenvolvimento.
“Winos 4.0 é uma estrutura maliciosa avançada que fornece funcionalidade completa, arquitetura estável e controle eficaz de vários endpoints da Internet para ações adicionais”, disse Fortinet FortiGuard Labs em um relatório compartilhado com Hacker News. “Reconstruído a partir do Gh0st RAT, consiste em vários componentes modulares, cada um para lidar com tarefas diferentes.”
As campanhas de distribuição do Winos 4.0 foram documentadas em junho pela Trend Micro e a equipe KnowSec 404 está rastreando o grupo de trabalho sob os nomes Void Arachne e Silver Fox.
Foram observados ataques direcionados a usuários de língua chinesa, usando táticas black hat de Search Engine Optimization (SEO), mídias sociais e plataformas de mensagens como o Telegram para espalhar o malware.
A análise mais recente da Fortinet mostra que os usuários finais que executam aplicativos maliciosos relacionados a jogos iniciam um processo de infecção em vários estágios que começa com o recebimento de um arquivo BMP falso em um servidor remoto (“ad59t82g[.]com”) que é então compilado em uma biblioteca de vínculo dinâmico (DLL).
O arquivo DLL se encarrega de configurar o espaço de trabalho baixando três arquivos do mesmo servidor: t3d.tmp, t4d.tmp e t5d.tmp, os dois primeiros são posteriormente empacotados para receber o próximo conjunto de cargas úteis que incluem o executável. (“u72kOdQ.exe”) e três arquivos DLL, incluindo “libcef.dll.”
“A DLL é chamada de ‘学籍电视’, que significa ‘Sistema de Registro de Estudantes’, o que sugere que o ator da ameaça pode ter como alvo organizações educacionais”, disse Fortinet.
Na próxima etapa, o binário é usado para carregar “libcef.dll”, que então extrai e executa o shellcode de segundo estágio em t5d.tmp. O malware continua a estabelecer comunicação com seu servidor de comando e controle (C2) (“202.79.173)[.]4” usa o protocolo TCP e recupera outra DLL (“上线方法.dll”).
A DLL de terceira camada, parte do Winos 4.0, baixa dados codificados do servidor C2, um novo módulo DLL (“英语最乐.dll”) é responsável por coletar informações do sistema, copiar o conteúdo da área de transferência, coletar dados da carteira extensões de criptomoedas como OKX I-Wallet e MetaMask, além de simplificar operações backdoor aguardando novos comandos do servidor.
O Winos 4.0 também permite a entrega de plug-ins adicionais do servidor C2 que permitem capturar capturas de tela e fazer upload de documentos confidenciais de um sistema comprometido.
“Winos4.0 é uma estrutura poderosa, semelhante ao Cobalt Strike e Sliver, que pode suportar multitarefa e gerenciar facilmente sistemas vulneráveis”, disse Fortinet. “Campanhas de ameaças sugerem aplicativos relacionados a jogos para atrair a vítima a baixar e instalar malware sem aviso prévio e assumir efetivamente o controle profundo do sistema”.
