O kit pós-exploração Winos4.0 ameaça os jogadores do Windows

Especialistas em segurança cibernética identificaram uma nova ameaça direcionada aos jogadores do Windows: a estrutura maliciosa Winos4.0, que se disfarça como ferramentas de instalação e otimização de jogos. Descoberto pela primeira vez pelo FortiGuard Labs da Fortinet, o Winos4.0 evoluiu rapidamente para uma plataforma de malware sofisticada com amplos recursos de controle sobre sistemas infectados. Abaixo, exploramos como funciona o Winos4.0, seu impacto nos usuários e os setores em risco.

O que é Winos4.0 e como funciona?

Winos4.0 é uma estrutura de malware que se incorpora a aplicativos aparentemente benignos relacionados a jogos, como aceleradores de velocidade e ferramentas de instalação. Esse malware usa vários estágios para penetrar, estabelecer persistência e permitir que invasores controlem remotamente os sistemas comprometidos. De acordo com Fortineto primeiro estágio da infecção começa quando um usuário baixa, sem saber, um aplicativo de jogo contaminado. Uma vez instalado, o Winos4.0 inicia um processo de infecção em várias etapas:

1. Baixe e execute arquivos maliciosos: o aplicativo malicioso recupera um arquivo .bmp disfarçado de um servidor externo. O arquivo extrai um arquivo de biblioteca de vínculo dinâmico (DLL) que permite que o malware se integre ao sistema.
2. Modificações de registro: o malware usa o arquivo DLL para configurar um ambiente persistente criando chaves de registro. Isso garante que o Winos4.0 permaneça ativo mesmo após a reinicialização do sistema.
3. Injeção de Shellcode e carregamento de API: nas etapas a seguir, o malware injeta shellcode para carregar interfaces de programação de aplicativos (APIs), recuperar dados de configuração e estabelecer uma conexão de comando e controle (C2).
4. Comunicação C2 avançada: Winos4.0 se comunica frequentemente com servidores C2, permitindo que operadores remotos enviem comandos e baixem módulos adicionais para exploração posterior.

A Fortinet enfatiza que “Winos4.0 é uma estrutura poderosa… que pode suportar múltiplas funções e controlar facilmente sistemas comprometidos”, exortando os usuários a evitar o download de software não verificado.

Capacidades maliciosas do Winos4.0

Uma vez totalmente integrado ao sistema de um usuário, o Winos4.0 pode realizar uma variedade de ações prejudiciais que colocam em risco a privacidade do usuário e a segurança dos dados. As principais funções do Winos4.0 incluem:

• Monitoramento do sistema: o malware coleta informações do sistema, como endereços IP, detalhes do sistema operacional e especificações da CPU.
• Captura de tela e área de transferência: Winos4.0 pode fazer capturas de tela e monitorar a área de transferência, potencialmente capturando informações confidenciais, incluindo senhas e endereços de carteiras de criptomoedas.
• Vigilância e exfiltração de dados: o malware usa sua conexão com servidores C2 para exfiltrar dados do sistema infectado, permitindo que invasores coletem documentos, interceptem atividades na tela e monitorem o conteúdo da área de transferência.
• Mecanismos anti-detecção: Winos4.0 verifica a presença de software antivírus de fornecedores como Kaspersky, Bitdefender e Malwarebytes. Se detectar tal software, ele ajusta seu comportamento para evitar a detecção ou interrompe completamente a execução.

Cuidado com Malware Octo2 visando bancos europeus, disfarçados de aplicativos populares

A pesquisa da Fortinet também aponta que o Winos4.0 procura especificamente atividades de carteiras criptografadas em sistemas infectados, destacando as motivações financeiras por trás do design do malware.

O Winos4.0 também pode ser usado para se infiltrar em instituições educacionais. O FortiGuard Labs notou referências no código do malware que sugerem um potencial alvo de sistemas no setor educacional. Por exemplo, um arquivo denominado “Administração Campus” foi encontrado dentro da estrutura do Winos4.0, apontando para um possível esforço de acesso a sistemas administrativos em escolas e universidades.

Um histórico de segmentação em regiões específicas

De acordo com relatórios das empresas de segurança cibernética Trend Micro e Fortinet, o Winos4.0 é distribuído principalmente em regiões onde os usuários têm maior probabilidade de baixar versões modificadas de software, como a China. Campanhas como Silver Fox e Void Arachne usaram o Winos4.0 para explorar usuários de língua chinesa, aproveitando mídias sociais, táticas de otimização de mecanismos de pesquisa e aplicativos de mensagens como o Telegram para distribuir o malware.

Estas campanhas refletem uma tendência crescente em que os hackers adaptam estratégias de distribuição de malware com base em fatores geográficos e culturais, atraindo vítimas com versões de software adaptadas para regiões específicas.

Os especialistas observam que o Winos4.0 compartilha semelhanças com outras estruturas de malware conhecidas, como Cobalt Strike e Sliver. Assim como essas estruturas, o Winos4.0 permite que invasores controlem sistemas remotamente e implantem diversas funções que facilitam o roubo, monitoramento e exploração de dados.

A natureza modular do Winos4.0 significa que ele pode ser facilmente atualizado e modificado, tornando-o uma ferramenta versátil para cibercriminosos. A sua semelhança com Cobalt Strike e Sliver implica que o Winos4.0 poderia servir potencialmente como uma plataforma a longo prazo para ataques cibernéticos sustentados em diferentes grupos de utilizadores.

Indicadores de Compromisso (IoCs)

A Fortinet publicou uma lista de indicadores de comprometimento (IoCs) associados ao Winos4.0, que inclui arquivos específicos e chaves de registro. Os usuários podem consultar esses IoCs para verificar sinais de infecção. Indicadores notáveis ​​incluem:

• Arquivos DLL como you.dll e módulos com nomes de arquivos chineses como “上线模块.dll” (módulo de login).
• Modificações de registro em caminhos como “HKEY_CURRENT_USER\Console\0” onde os dados criptografados são armazenados e os endereços C2 são atualizados.

Esses IoCs são vitais para que organizações e indivíduos detectem e respondam proativamente às infecções pelo Winos4.0.

Proteções e recomendações atuais

A partir de agora, as soluções antivírus da Fortinet possuem mecanismos de proteção integrados para detectar e bloquear o Winos4.0. Embora a empresa ainda não tenha lançado um guia de remoção detalhado, a Fortinet incentiva os usuários a monitorar de perto o software baixado.

Os especialistas recomendam as seguintes precauções para minimizar o risco de infecção:

• Baixe apenas software confiável: A Fortinet aconselha os usuários a baixar aplicativos exclusivamente de fontes confiáveis ​​e a serem cautelosos com ferramentas de otimização de jogos que podem aparecer em sites não oficiais.
• Atualize regularmente o software de segurança: A atualização do software antivírus pode ajudar na detecção de ameaças de malware emergentes, incluindo Winos4.0.
• Monitore o tráfego de rede: atividades incomuns de rede ou conexões com servidores desconhecidos podem indicar a presença de malware como o Winos4.0.

Crédito da imagem em destaque: Kerem Gülen/meio da jornada