Хакерите все по-често се насочват към потребителите на Windows със зловредната рамка Winos4.0, разпространявана чрез привидно доброкачествени приложения, свързани с игри.

Инструментариумът е еквивалент на постексплоатационните рамки Sliver и Cobalt Strike и беше документиран от Trend Micro това лято в доклад за атаки срещу китайски потребители.

Тогава злосторник, проследен като Void Arachne/Silver Fox, примамваше жертвите с предложения за различен софтуер (VPN, браузър Google Chrome), модифициран за китайския пазар, който включваше зловредния компонент.

В днешния доклад на компанията за киберсигурност Fortinet се посочва, че дейността се е развила, като хакерите вече залагат на игри и файлове, свързани с игри, за да продължат да атакуват китайски потребители.

Когато привидно легитимните инсталатори се изпълнят, те изтеглят DLL файл от „ad59t82g[.]com“, за да започнат многоетапен процес на заразяване.

На първия етап DLL файлът (you.dll) изтегля допълнителни файлове, създава среда за изпълнение и установява устойчивост чрез добавяне на записи в регистъра на Windows.

На втория етап инжектираният шелкод зарежда API, извлича данни за конфигурацията и установява връзка със сървъра за командване и управление (C2).

В третата фаза друг DLL (上线模块.dll) извлича допълнително кодирани данни от C2 сървъра, съхранява ги в регистъра на адрес „HKEY_CURRENT_USER\Console\0“ и актуализира адресите на C2.

На последния етап от веригата на атаката се зарежда модулът за вход (登录模块.dll), който извършва основните злонамерени действия:

• Събира информация за системата и околната среда (например IP адрес, данни за операционната система, процесор).
• Проверява за наличие на антивирусен софтуер и софтуер за наблюдение, работещ на хоста.
• Събира данни за конкретни разширения на портфейла за криптовалута, използвани от жертвата.
• Поддържа постоянна връзка със задна врата към сървъра C2, която позволява на нападателя да издава команди и да извлича допълнителни данни.
• Ексфилтрира данни след правене на снимки на екрана, следене за промени в клипборда и кражба на документи.

Winos4.0 проверява за наличието на различни инструменти за сигурност в системата, включително Kaspersky, Avast, Avira, Symantec, Bitdefender, Dr.Web, Malwarebytes, McAfee, AhnLab, ESET, Panda Security и спрения вече Microsoft Security Essentials.

Като идентифицира тези процеси, злонамереният софтуер определя дали се изпълнява в наблюдавана среда и съответно коригира поведението си или спира изпълнението.

Хакерите продължават да използват рамката Winos4.0 от няколко месеца насам и появата на нови кампании е показател, че ролята ѝ в злонамерените операции изглежда се е затвърдила.

Fortinet описва рамката като мощна, която може да се използва за контрол на компрометирани системи, с функционалност, подобна на Cobalt Strike и Sliver. Индикатори за компрометиране (IoC) са налични в докладите на Fortinet и Trend Micro.

Инфографики: Fortinet

Базова информация: Fortinet и Trend Micro