Eksperci ds. cyberbezpieczeństwa zidentyfikowali nowe zagrożenie atakujące graczy korzystających z systemu Windows: złośliwą platformę Winos 4.0, która podszywa się pod narzędzia do instalacji i optymalizacji gier. Odkryty po raz pierwszy w laboratoriach FortiGuard Labs firmy Fortinet, system Winos 4.0 szybko przekształcił się w wyrafinowaną platformę złośliwego oprogramowania z szerokimi możliwościami kontroli nad zainfekowanymi systemami. Poniżej analizujemy, jak działa Winos 4.0, jego wpływ na użytkowników i zagrożone sektory.
Co to jest Winos 4.0 i jak działa?
Winos 4.0 to środowisko złośliwego oprogramowania, które osadza się w pozornie nieszkodliwych aplikacjach związanych z grami, takich jak narzędzia zwiększające prędkość i narzędzia instalacyjne. To złośliwe oprogramowanie wykorzystuje wiele etapów, aby przeniknąć, zapewnić trwałość i umożliwić atakującym zdalną kontrolę zaatakowanych systemów. Zdaniem Fortinetapierwszy etap infekcji rozpoczyna się, gdy użytkownik nieświadomie pobierze skażoną aplikację do gier. Po zainstalowaniu Winos 4.0 inicjuje wieloetapowy proces infekcji:
- Pobieraj i uruchamiaj złośliwe pliki: złośliwa aplikacja pobiera ukryty plik .bmp z serwera zewnętrznego. Plik wyodrębnia plik biblioteki dołączanej dynamicznie (DLL), który umożliwia złośliwemu programowi integrację z systemem.
- Modyfikacje rejestru: Szkodnik wykorzystuje plik DLL do skonfigurowania trwałego środowiska poprzez utworzenie kluczy rejestru. Dzięki temu Winos 4.0 pozostanie aktywny nawet po ponownym uruchomieniu systemu.
- Wstrzykiwanie kodu powłoki i ładowanie APIW poniższych krokach złośliwe oprogramowanie wstrzykuje kod powłoki, aby załadować interfejsy programowania aplikacji (API), pobrać dane konfiguracyjne i nawiązać połączenie typu Command-and-Control (C2).
- Zaawansowana komunikacja C2: Winos 4.0 często komunikuje się z serwerami C2, umożliwiając zdalnym operatorom wysyłanie poleceń i pobieranie dodatkowych modułów do dalszej eksploatacji.
Fortinet podkreśla, że „Winos 4.0 to potężna platforma… która może obsługiwać wiele funkcji i łatwo kontrolować zaatakowane systemy”, zachęcając użytkowników do unikania pobierania niezweryfikowanego oprogramowania.
Szkodliwe możliwości Winos 4.0
Po całkowitym osadzeniu w systemie użytkownika, Winos 4.0 może wykonywać szereg szkodliwych działań, które zagrażają prywatności użytkownika i bezpieczeństwu danych. Kluczowe funkcje Winos 4.0 obejmują:
- Monitorowanie systemu: Szkodnik zbiera informacje o systemie, takie jak adresy IP, szczegóły systemu operacyjnego i specyfikacje procesora.
- Przechwytywanie ekranu i schowka: Winos 4.0 może robić zrzuty ekranu i monitorować schowek, potencjalnie przechwytując poufne informacje, w tym hasła i adresy portfeli kryptowalut.
- Nadzór i eksfiltracja danych: Szkodnik wykorzystuje połączenie z serwerami C2 do ekstrakcji danych z zainfekowanego systemu, umożliwiając atakującym gromadzenie dokumentów, przechwytywanie aktywności na ekranie i monitorowanie zawartości schowka.
- Mechanizmy zapobiegające wykryciu: Winos 4.0 sprawdza obecność oprogramowania antywirusowego takich dostawców jak Kaspersky, Bitdefender i Malwarebytes. Jeśli wykryje takie oprogramowanie, dostosowuje swoje zachowanie, aby uniknąć wykrycia lub całkowicie wstrzymuje wykonanie.
Uważaj Złośliwe oprogramowanie Octo2 obiera za cel banki europejskie pod przykrywką popularnych aplikacji
Badanie Fortinet wskazuje również, że Winos 4.0 w szczególności szuka aktywności portfeli kryptowalut w zainfekowanych systemach, podkreślając motywacje finansowe stojące za projektem szkodliwego oprogramowania.
Winos 4.0 może być również wykorzystywany do infiltracji instytucji edukacyjnych. Laboratoria FortiGuard odnotowały w kodzie szkodliwego oprogramowania odniesienia, które sugerują potencjalne atakowanie systemów w sektorze edukacyjnym. Na przykład w strukturze Winos 4.0 znaleziono plik o nazwie „Administracja kampusu”, wskazujący na możliwe próby uzyskania dostępu do systemów administracyjnych w szkołach i uniwersytetach.
Historia kierowania na określone regiony
Według raportów firm zajmujących się cyberbezpieczeństwem Trend Micro i Fortinet, Winos 4.0 jest dystrybuowany głównie w regionach, w których użytkownicy mogą częściej pobierać zmodyfikowane wersje oprogramowania, np. w Chinach. Kampanie takie jak Silver Fox i Void Arachne wykorzystywały Winos 4.0 do wykorzystywania chińskojęzycznych użytkowników, wykorzystując media społecznościowe, taktyki optymalizacji wyszukiwarek i aplikacje do przesyłania wiadomości, takie jak Telegram, do dystrybucji złośliwego oprogramowania.
Kampanie te odzwierciedlają rosnącą tendencję, zgodnie z którą hakerzy dostosowują strategie dystrybucji złośliwego oprogramowania w oparciu o czynniki geograficzne i kulturowe, wabiąc ofiary wersjami oprogramowania dostosowanymi do konkretnych regionów.
Eksperci zauważają, że Winos 4.0 ma podobieństwa z innymi dobrze znanymi platformami szkodliwego oprogramowania, takimi jak Cobalt Strike i Sliver. Podobnie jak te frameworki, Winos 4.0 umożliwia atakującym zdalne kontrolowanie systemów i wdrażanie różnych funkcji ułatwiających kradzież, monitorowanie i wykorzystywanie danych.
Modułowa natura Winos 4.0 oznacza, że można go łatwo aktualizować i modyfikować, co czyni go wszechstronnym narzędziem dla cyberprzestępców. Jego podobieństwo do Cobalt Strike i Sliver sugeruje, że Winos 4.0 może potencjalnie służyć jako długoterminowa platforma do długotrwałych cyberataków na różne grupy użytkowników.
Wskaźniki kompromisu (IoC)
Firma Fortinet opublikowała listę wskaźników zagrożenia (IoC) powiązanych z Winos 4.0, która zawiera określone pliki i klucze rejestru. Użytkownicy mogą odwoływać się do tych IoC, aby sprawdzić oznaki infekcji. Godne uwagi wskaźniki obejmują:
- Pliki DLL, takie jak you.dll i moduły o chińskich nazwach plików, takie jak „上线模块.dll” (moduł logowania).
- Modyfikacje rejestru w ścieżkach takich jak „HKEY_CURRENT_USER\Console\0”, w których przechowywane są zaszyfrowane dane i aktualizowane są adresy C2.
Te IoC są niezbędne organizacjom i osobom do proaktywnego wykrywania i reagowania na infekcje Winos 4.0.
Aktualne zabezpieczenia i zalecenia
Obecnie rozwiązania antywirusowe firmy Fortinet posiadają zintegrowane mechanizmy ochrony umożliwiające wykrywanie i blokowanie oprogramowania Winos 4.0. Chociaż firma nie opublikowała jeszcze szczegółowego przewodnika usuwania, Fortinet zachęca użytkowników do uważnego monitorowania pobieranego oprogramowania.
Eksperci zalecają następujące środki ostrożności, aby zminimalizować ryzyko infekcji:
- Pobieraj tylko zaufane oprogramowanie: Fortinet zaleca użytkownikom pobieranie aplikacji wyłącznie z renomowanych źródeł i zachowanie ostrożności w przypadku narzędzi do optymalizacji gier, które mogą pojawiać się na nieoficjalnych stronach internetowych.
- Regularnie aktualizuj oprogramowanie zabezpieczające: Aktualizacja oprogramowania antywirusowego może pomóc w wykryciu pojawiających się zagrożeń złośliwym oprogramowaniem, w tym Winos 4.0.
- Monitoruj ruch sieciowy: Nietypowa aktywność sieciowa lub połączenia z nieznanymi serwerami mogą wskazywać na obecność złośliwego oprogramowania, takiego jak Winos 4.0.
Autor wyróżnionego obrazu: Kerem Gülen/Midjourney