Les pirates informatiques ciblent de plus en plus les utilisateurs de Windows avec le framework malveillant Winos4.0, distribué via des applications apparemment bénignes liées au jeu.
La boîte à outils est l’équivalent des frameworks de post-exploitation des frappes d’argent et de Cobalt et elle a été documentée par Trend Micro cet été dans un rapport sur les attaques contre les utilisateurs chinois.
À l’époque, un acteur de la menace suivi sous le nom de Void Arachne/Silver Fox a attiré les victimes avec des offres de divers logiciels (VPN, navigateur Google Chrome) modifiés pour le marché chinois qui regroupaient le composant malveillant.
Un rapport publié aujourd’hui par la société de cybersécurité Fortinet indique une évolution de l’activité, les pirates informatiques s’appuyant désormais sur les jeux et les fichiers liés aux jeux pour continuer à cibler les utilisateurs chinois.
Lorsque les installateurs apparemment légitimes sont exécutés, ils téléchargent un fichier DLL à partir de » ad59t82g[.] com » pour lancer un processus d’infection en plusieurs étapes.
Dans la première étape, un fichier DLL (vous.dll) télécharge des fichiers supplémentaires, configure l’environnement d’exécution et établit la persistance en ajoutant des entrées dans le registre Windows.
Dans la deuxième étape, le shellcode injecté charge les API, récupère les données de configuration et établit une connexion au serveur de commande et de contrôle (C2).
Dans la troisième phase, une autre DLL (上线模块.dll) récupère les données codées supplémentaires du serveur C2, les stocke dans le registre à « HKEY_CURRENT_USER \ \ Console \ \ 0 » et met à jour les adresses C2.
Dans la dernière étape de la chaîne d’attaque, le module de connexion (登录模块.dll) est chargé, qui effectue les principales actions malveillantes:
- Collecte des informations sur le système et l’environnement (par exemple, adresse IP, détails du système d’exploitation, CPU).
- Vérifie l’antivirus et le logiciel de surveillance en cours d’exécution sur l’hôte.
- Recueille des données sur des extensions de portefeuille de crypto-monnaie spécifiques utilisées par la victime.
- Maintient une connexion de porte dérobée persistante au serveur C2, permettant à l’attaquant d’émettre des commandes et de récupérer des données supplémentaires.
- Exfiltrez les données après avoir pris des captures d’écran, surveillé les modifications du presse-papiers et volé des documents.
Winos4. 0 vérifie la présence de divers outils de sécurité sur le système, notamment Kaspersky, Avast, Avira, Symantec, Bitdefender, Dr.Web, Malwarebytes, McAfee, AhnLab, ESET, Panda Security et Microsoft Security Essentials, désormais abandonné.
En identifiant ces processus, le logiciel malveillant détermine s’il s’exécute dans un environnement surveillé et ajuste son comportement en conséquence, ou interrompt l’exécution.
Les pirates informatiques continuent d’utiliser le framework Winos4.0 depuis plusieurs mois maintenant, et voir de nouvelles campagnes émerger est une indication que son rôle dans les opérations malveillantes semble s’être solidifié.
Fortinet décrit le framework comme un framework puissant qui peut être utilisé pour contrôler les systèmes compromis, avec des fonctionnalités similaires à Cobalt Strike et Sliver. Les indicateurs de compromission (IOC) sont disponibles dans les rapports de Fortinet et Trend Micro.