Los piratas informáticos se dirigen cada vez más a los usuarios de Windows con el marco de malware Winos4.0, distribuido a través de aplicaciones aparentemente inofensivas relacionadas con los juegos.
El conjunto de herramientas es el equivalente a los marcos posteriores a la explotación de Sliver y Cobalt Strike y ha sido documentado por Microtendencia este verano en un informe sobre ataques contra usuarios chinos.
En ese momento, un actor malicioso identificado como Void Arachne/Silver Fox atrajo a sus víctimas con ofertas de diversos programas (VPN, navegador Google Chrome) modificados para el mercado chino y que incluían el componente malicioso.
Un informe publicado hoy por la firma de ciberseguridad Fortinet indica un cambio en la actividad, y los piratas informáticos ahora dependen de los juegos y archivos relacionados con ellos para seguir atacando a los usuarios chinos.
Fuente: Fortinet
Cuando se ejecutan los instaladores aparentemente legítimos, descargan un archivo DLL de “ad59t82g[.]com” para iniciar un proceso de infección de varios pasos.
En el primer paso, un archivo DLL (you.dll) descarga archivos adicionales, configura el entorno de ejecución y establece la persistencia agregando entradas al registro de Windows.
En el segundo paso, el código shell inyectado carga las API, recupera los datos de configuración y establece una conexión con el servidor de comando y control (C2).
En la tercera fase, otra DLL (上线模块.dll) recupera datos codificados adicionales del servidor C2, los almacena en el registro en “HKEY_CURRENT_USER\\Console\\0” y actualiza las direcciones C2.
Fuente: Fortinet
En el último paso de la cadena de ataque, se carga el módulo de inicio de sesión (登录模块.dll), que realiza las principales acciones maliciosas:
- Recopila información del sistema y del entorno (por ejemplo, dirección IP, detalles del sistema operativo, procesador).
- Comprueba el software antivirus y de supervisión que se ejecuta en el host.
- Recopila datos sobre extensiones de billetera de criptomonedas específicas utilizadas por la víctima.
- Mantiene una conexión de puerta trasera persistente con el servidor C2, lo que permite al atacante emitir comandos y recuperar datos adicionales.
- Exfiltre datos después de tomar capturas de pantalla, monitorear cambios en el portapapeles y robar documentos.
.jpeg)
Fuente: Fortinet
Winos4.0 busca una variedad de herramientas de seguridad en el sistema, incluidas Kaspersky, Avast, Avira, Symantec, Bitdefender, Dr.Web, Malwarebytes, McAfee, AhnLab, ESET, Panda Security y Microsoft Security Essentials, ahora descontinuado.
Al identificar estos procesos, el malware determina si se está ejecutando en un entorno monitoreado y ajusta su comportamiento en consecuencia o detiene su ejecución.
Los piratas informáticos han seguido utilizando el marco Winos4.0 desde hace varios meses, y ver surgir nuevas campañas es una indicación de que su papel en las operaciones maliciosas parece haberse solidificado.
Fortinet describe el marco como un marco poderoso que se puede utilizar para controlar sistemas comprometidos, con una funcionalidad similar a Cobalt Strike y Sliver. Los indicadores de compromiso (IoC) están disponibles en los informes de seguridad. Fortinet Y Microtendencia.