Winos4.0 se cache dans les applications de jeux pour pirater les systèmes Windows • The Register
Les criminels utilisent des applications liées aux jeux pour infecter les systèmes Windows avec un logiciel malveillant appelé Winos4.0 qui donne aux attaquants un contrôle total sur les machines compromises.
Le malware, qui semble avoir été reconstruit à partir de Gh0stratcomporte plusieurs composants, chacun gérant des fonctions distinctes, selon Fortinet.
Le magasin de sécurité a repéré « plusieurs » échantillons cachés dans les outils d’installation du jeu, les boosters de vitesse et les utilitaires d’optimisation. Fortinet affirme qu’il est similaire à Cobalt Strike et Sliver – deux outils d’équipe rouge légitimes qui sont également les favoris des criminels qui utilisent des versions crackées pour déployer des ransomwares et d’autres logiciels malveillants, ainsi que des mouvements latéraux, du cyberespionnage et d’autres actes maléfiques.
Winos4.0 a été utilisé dans plusieurs campagnes d’attaque, notamment Renard argentéun équipage soupçonné d’être lié au gouvernement chinois, nous dit-on.
« L’ensemble de la chaîne d’attaque implique plusieurs données chiffrées et de nombreuses communications C2 pour compléter l’injection », Fortinet averti. « Les utilisateurs doivent connaître la source de toute nouvelle application et télécharger le logiciel uniquement à partir de sources qualifiées. »
L’attaque commence par un leurre lié au jeu. Une fois que la victime exécute l’application, elle télécharge un faux fichier BMP depuis « ad59t82g[.]com » qui démarre le processus d’infection.
La première étape est un fichier DLL qui configure l’environnement d’exécution, injecte le shellcode et établit la persistance. La DLL est nommée « 学籍系统 », ce qui signifie « système d’inscription des étudiants », ce qui indique que l’attaquant peut cibler les organisations du secteur éducatif.
Dans la deuxième étape, le shellcode charge les API, récupère l’adresse de commande et de contrôle (C2) et établit la communication avec le serveur contrôlé par l’attaquant.
Ensuite, un fichier DLL appelé « 上线模块 » télécharge les données codées depuis le serveur C2 et les enregistre dans le registre « HKEY_CURRENT_USER \\Console\\0\\ d33f351a4aeea5e608853d1a56661059 ».
Enfin, dans la quatrième étape, le fichier DLL « 登录模块 » contient la charge utile principale qui effectue toutes les activités malveillantes sur la machine infectée.
Il collecte des informations sur l’hôte infecté, notamment l’adresse IP, le nom de l’ordinateur, le système d’exploitation, le processeur, le disque, la carte réseau, le nom du répertoire et l’heure.
Ce module vérifie également si un logiciel lié à la surveillance du système est en cours d’exécution sur la machine et si un dispositif antivirus est présent.
Il recherche une extension de portefeuille crypto et stocke ces informations, tout en prenant des captures d’écran, en volant des documents et en surveillant les activités des utilisateurs.
De plus, le module de l’étape finale établit une porte dérobée persistante vers le serveur C2, permettant à l’attaquant de maintenir une présence à long terme sur la machine de la victime. ®