Los investigadores de ciberseguridad advierten que un marco de comando y control (C&C) llamado Vinos se distribuye en aplicaciones relacionadas con juegos, como herramientas de instalación, aceleradores de velocidad y utilidades de optimización.
“Winos 4.0 es un marco de malware avanzado que ofrece una funcionalidad integral, una arquitectura estable y un control efectivo sobre múltiples puntos finales en línea para realizar otras acciones”, Fortinet FortiGuard Labs dicho en un informe compartido con The Hacker News. “Reconstruido a partir de Gh0st RAT, incluye varios componentes modulares, cada uno de los cuales maneja funciones distintas”.
Las campañas de distribución de Winos 4.0 fueron documentadas en junio por Trend Micro y el equipo de KnownSec 404, las empresas de ciberseguridad están rastreando el grupo de actividades bajo los nombres Void Arachne y Silver Fox.
Se han observado ataques dirigidos a usuarios de habla china, aprovechando tácticas de optimización de motores de búsqueda (SEO), redes sociales y plataformas de mensajería como Telegram para distribuir el malware.
El último análisis de Fortinet muestra que los usuarios que terminan ejecutando aplicaciones maliciosas relacionadas con juegos desencadenan un proceso de infección de varios pasos que comienza con la recuperación de un archivo BMP falso de un servidor remoto (“ad59t82g[.]com”) que luego se decodifica en una biblioteca de vínculos dinámicos (DLL).
El archivo DLL se encarga de configurar el entorno de ejecución descargando tres archivos del mismo servidor: t3d.tmp, t4d.tmp y t5d.tmp, los dos primeros luego se descomprimen para obtener el siguiente conjunto de cargas útiles, incluido un ejecutable. . (“u72kOdQ.exe”) y tres archivos DLL, incluido “libcef.dll”.
“La DLL se llama ‘学籍系统’, que significa ‘Sistema de registro de estudiantes’, lo que sugiere que el actor de la amenaza podría apuntar a instituciones educativas”, dijo Fortinet.
En el siguiente paso, el binario se utiliza para cargar “libcef.dll”, que luego extrae y ejecuta el código shell de segunda etapa desde t5d.tmp. El malware establece contacto con su servidor de comando y control (C2) (“202.79.173[.]4″ usando el protocolo TCP y obtenga otra DLL (“上线模块.dll”).
La DLL de tercera etapa, que forma parte de Winos 4.0, descarga datos codificados del servidor C2, un nuevo módulo DLL (“登录模块.dll”) que es responsable de recopilar información del sistema, copiar el contenido del portapapeles y recopilar datos de extensiones de billetera de criptomonedas como OKX. Wallet y MetaMask, y facilita la funcionalidad de puerta trasera mientras espera más comandos del servidor.
Winos 4.0 también permite la entrega de complementos adicionales desde el servidor C2 que le permiten realizar capturas de pantalla y descargar documentos confidenciales del sistema comprometido.
“Winos4.0 es un marco poderoso, similar a Cobalt Strike y Sliver, que puede admitir múltiples funciones y controlar fácilmente sistemas comprometidos”, dijo Fortinet. “Las campañas de amenazas explotan las aplicaciones relacionadas con los juegos para engañar a la víctima para que descargue y ejecute imprudentemente el malware y despliegue con éxito un control profundo del sistema. »