Los piratas informáticos atacan cada vez más a los usuarios de Windows con el marco malicioso Winos4.0, distribuido a través de aplicaciones relacionadas con juegos aparentemente benignas.
El kit de herramientas es el equivalente a los marcos de post-explotación Sliver y Cobalt Strike y fue documentado por Trend Micro este verano en un informe sobre ataques contra usuarios chinos.
En ese momento, un actor de amenazas conocido como Void Arachne/Silver Fox atraía a las víctimas con ofertas de varios programas (VPN, navegador Google Chrome) modificados para el mercado chino que incluían el componente malicioso.
Un informe publicado hoy por la empresa de ciberseguridad Fortinet indica una evolución en la actividad, y los piratas informáticos ahora dependen de los juegos y de los archivos relacionados con los juegos para seguir atacando a los usuarios chinos.
Cuando se ejecutan los instaladores aparentemente legítimos, descargan un archivo DLL de “ad59t82g[.]com” para iniciar un proceso de infección de varios pasos.
En la primera etapa, un archivo DLL (you.dll) descarga archivos adicionales, configura el entorno de ejecución y establece la persistencia agregando entradas en el Registro de Windows.
En la segunda etapa, el shellcode inyectado carga las API, recupera datos de configuración y establece una conexión con el servidor de comando y control (C2).
En la tercera fase, otra DLL (上线模块.dll) recupera datos codificados adicionales del servidor C2, los almacena en el registro en «HKEY_CURRENT_USER\Console\0» y actualiza las direcciones C2.
En la última etapa de la cadena de ataque, se carga el módulo de inicio de sesión (登录模块.dll), que realiza las principales acciones maliciosas:
Recopila información del sistema y del entorno (por ejemplo, dirección IP, detalles del sistema operativo, CPU).
Comprueba el software antivirus y de monitorización que se ejecuta en el host.
Recopila datos sobre extensiones de billetera de criptomonedas específicas utilizadas por la víctima.
Mantiene una conexión de puerta trasera persistente al servidor C2, lo que permite al atacante emitir comandos y recuperar datos adicionales.
Exfiltra datos después de tomar capturas de pantalla, monitorear cambios en el portapapeles y robar documentos.
Winos4.0 busca una variedad de herramientas de seguridad en el sistema, incluidas Kaspersky, Avast, Avira, Symantec, Bitdefender, Dr.Web, Malwarebytes, McAfee, AhnLab, ESET, Panda Security y el ahora discontinuado Microsoft Security Essentials.
Al identificar estos procesos, el malware determina si se está ejecutando en un entorno monitoreado y ajusta su comportamiento en consecuencia o detiene la ejecución.
Los piratas informáticos han seguido utilizando el marco Winos4.0 durante varios meses, y ver el surgimiento de nuevas campañas es una indicación de que su papel en operaciones maliciosas parece haberse consolidado.
Fortinet describe el marco como un sistema poderoso que puede utilizarse para controlar sistemas comprometidos, con una funcionalidad similar a Cobalt Strike y Sliver. Los indicadores de compromiso (IoC) están disponibles en los informes de Fortinet y Trend Micro.