Търсене
Close this search box.

Хакерите все по-често се насочват към потребителите на Windows със зловредната рамка Winos4.0, разпространявана чрез привидно доброкачествени приложения, свързани с игри.

Инструментариумът е еквивалент на постексплоатационните рамки Sliver и Cobalt Strike и беше документиран от Trend Micro това лято в доклад за атаки срещу китайски потребители.

Тогава злосторник, проследен като Void Arachne/Silver Fox, примамваше жертвите с предложения за различен софтуер (VPN, браузър Google Chrome), модифициран за китайския пазар, който включваше зловредния компонент.

В днешния доклад на компанията за киберсигурност Fortinet се посочва, че дейността се е развила, като хакерите вече залагат на игри и файлове, свързани с игри, за да продължат да атакуват китайски потребители.

 

Когато привидно легитимните инсталатори се изпълнят, те изтеглят DLL файл от „ad59t82g[.]com“, за да започнат многоетапен процес на заразяване.

На първия етап DLL файлът (you.dll) изтегля допълнителни файлове, създава среда за изпълнение и установява устойчивост чрез добавяне на записи в регистъра на Windows.

На втория етап инжектираният шелкод зарежда API, извлича данни за конфигурацията и установява връзка със сървъра за командване и управление (C2).

В третата фаза друг DLL (上线模块.dll) извлича допълнително кодирани данни от C2 сървъра, съхранява ги в регистъра на адрес „HKEY_CURRENT_USER\\Console\\0“ и актуализира адресите на C2.

На последния етап от веригата на атаката се зарежда модулът за вход (登录模块.dll), който извършва основните злонамерени действия:

  • Събира информация за системата и околната среда (например IP адрес, данни за операционната система, процесор).
  • Проверява за наличие на антивирусен софтуер и софтуер за наблюдение, работещ на хоста.
  • Събира данни за конкретни разширения на портфейла за криптовалута, използвани от жертвата.
  • Поддържа постоянна връзка със задна врата към сървъра C2, която позволява на нападателя да издава команди и да извлича допълнителни данни.
  • Ексфилтрира данни след правене на снимки на екрана, следене за промени в клипборда и кражба на документи.

 

Winos4.0 проверява за наличието на различни инструменти за сигурност в системата, включително Kaspersky, Avast, Avira, Symantec, Bitdefender, Dr.Web, Malwarebytes, McAfee, AhnLab, ESET, Panda Security и спрения вече Microsoft Security Essentials.

Като идентифицира тези процеси, злонамереният софтуер определя дали се изпълнява в наблюдавана среда и съответно коригира поведението си или спира изпълнението.

Хакерите продължават да използват рамката Winos4.0 от няколко месеца насам и появата на нови кампании е показател, че ролята ѝ в злонамерените операции изглежда се е затвърдила.

Fortinet описва рамката като мощна, която може да се използва за контрол на компрометирани системи, с функционалност, подобна на Cobalt Strike и Sliver. Индикатори за компрометиране (IoC) са налични в докладите на Fortinet и Trend Micro.

Инфографики: Fortinet

Базова информация: Fortinet и Trend Micro

 

Източник: По материали от Интернет

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
Бъдете социални
Още по темата
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!