Pesquisadores de segurança cibernética estão alertando que uma estrutura de comando e controle (C&C) chamada Vencedores está sendo distribuído em aplicativos relacionados a jogos, como ferramentas de instalação, aceleradores de velocidade e utilitários de otimização.
“Winos 4.0 é uma estrutura maliciosa avançada que oferece funcionalidade abrangente, uma arquitetura estável e controle eficiente sobre vários endpoints on-line para executar ações adicionais”, disse o Fortinet FortiGuard Labs em um relatório compartilhado com o The Hacker Information. “Reconstruído a partir do Gh0st RAT, inclui vários componentes modulares, cada um lidando com funções distintas.”
As campanhas de distribuição do Winos 4.0 foram documentadas em junho pela Development Micro e pela equipe KnownSec 404. As empresas de segurança cibernética estão rastreando o cluster de atividades sob os nomes Void Arachne e Silver Fox.
Esses ataques foram observados visando usuários de língua chinesa, aproveitando táticas black hat de Search Engine Optimization (search engine optimisation), mídias sociais e plataformas de mensagens como o Telegram para distribuir o malware.
A análise mais recente da Fortinet mostra que os usuários que acabam executando aplicativos maliciosos relacionados a jogos acionam um processo de infecção em vários estágios que começa com a recuperação de um arquivo BMP falso de um servidor remoto (“ad59t82g(.)com”) que é então decodificado em um arquivo dinâmico -biblioteca de hyperlink (DLL).
O arquivo DLL cuida da configuração do ambiente de execução baixando três arquivos do mesmo servidor: t3d.tmp, t4d.tmp e t5d.tmp, os dois primeiros são posteriormente descompactados para obter o próximo conjunto de cargas que compreendem um executável (“u72kOdQ.exe”) e três arquivos DLL, incluindo “libcef.dll.”
“A DLL é chamada de ‘学籍系统’, que significa ‘Sistema de Registro de Estudantes’, sugerindo que o ator da ameaça pode ter como alvo organizações educacionais”, disse Fortinet.
Na próxima etapa, o binário é empregado para carregar “libcef.dll”, que então extrai e executa o shellcode de segundo estágio de t5d.tmp. O malware estabelece contato com seu servidor de comando e controle (C2) (“202.79.173(.)4”) usando o protocolo TCP e recupera outra DLL (“上线模块.dll”).
A DLL de terceiro estágio, parte do Winos 4.0, baixa dados codificados do servidor C2, um novo módulo DLL (“登录模块.dll”) que é responsável por coletar informações do sistema, copiar o conteúdo da área de transferência, coletar dados de extensões de carteira de criptomoeda como OKX Pockets e MetaMask, e facilitando a funcionalidade backdoor aguardando novos comandos do servidor.
O Winos 4.0 também permite a entrega de plug-ins adicionais do servidor C2 que permitem capturar capturas de tela e fazer add de documentos confidenciais do sistema comprometido.
“Winos 4.0 é uma estrutura poderosa, semelhante ao Cobalt Strike e Sliver, que pode suportar múltiplas funções e controlar facilmente sistemas comprometidos”, disse Fortinet. “Campanhas de ameaças aproveitam aplicativos relacionados a jogos para atrair a vítima a baixar e executar o malware sem cautela e implantar com sucesso o controle profundo do sistema”.
