Cybersecurity-onderzoekers waarschuwen dat er sprake is van een command-and-control (C&C)-framework Winos wordt gedistribueerd binnen gaming-gerelateerde applicaties zoals installatietools, snelheidsboosters en optimalisatiehulpprogramma’s.
“Winos 4.0 is een geavanceerd kwaadaardig raamwerk dat uitgebreide functionaliteit, een stabiele architectuur en efficiënte controle over talloze online eindpunten biedt om verdere acties uit te voeren”, aldus Fortinet FortiGuard Labs in een rapport gedeeld met The Hacker News. “Het is herbouwd vanuit Gh0st RAT en bevat verschillende modulaire componenten, die elk verschillende functies vervullen.”
Campagnes waarin Winos 4.0 werd verspreid, werden in juni gedocumenteerd door Trend Micro en het KnownSec 404-team. De cybersecuritybedrijven volgen het activiteitencluster onder de namen Void Arachne en Silver Fox.
Er zijn aanvallen waargenomen die gericht waren op Chineessprekende gebruikers, waarbij gebruik werd gemaakt van black hat Search Engine Optimization (SEO)-tactieken, sociale media en berichtenplatforms zoals Telegram om de malware te verspreiden.
Uit de laatste analyse van Fortinet blijkt dat gebruikers die kwaadaardige game-gerelateerde applicaties uitvoeren een meerfasig infectieproces activeren dat begint met het ophalen van een vals BMP-bestand van een externe server (“ad59t82g(.)com”) dat vervolgens wordt gedecodeerd in een dynamisch bestand. -linkbibliotheek (DLL).
Het DLL-bestand zorgt voor het opzetten van de uitvoeringsomgeving door drie bestanden van dezelfde server te downloaden: t3d.tmp, t4d.tmp en t5d.tmp, waarvan de eerste twee vervolgens worden uitgepakt om de volgende set payloads te verkrijgen die een uitvoerbaar bestand bevatten (“u72kOdQ.exe”) en drie DLL-bestanden, waaronder “libcef.dll.”
“De DLL heet ‘学籍系统’, wat ‘Studentenregistratiesysteem’ betekent, wat suggereert dat de bedreigingsacteur zich mogelijk op onderwijsorganisaties richt’, aldus Fortinet.
In de volgende stap wordt het binaire bestand gebruikt om “libcef.dll” te laden, dat vervolgens de shellcode van de tweede fase uit t5d.tmp extraheert en uitvoert. De malware gaat verder met het tot stand brengen van contact met de command-and-control (C2)-server (“202.79.173(.)4” met behulp van het TCP-protocol en haalt een andere DLL op (“上线模块.dll”).
De derde fase DLL, onderdeel van Winos 4.0, downloadt gecodeerde gegevens van de C2-server, een nieuwe DLL-module (“登录模块.dll”) die verantwoordelijk is voor het verzamelen van systeeminformatie, het kopiëren van klembordinhoud en het verzamelen van gegevens van cryptocurrency-portemonnee-extensies zoals OKX Wallet en MetaMask, en het faciliteren van backdoor-functionaliteit door te wachten op verdere opdrachten van de server.
Winos 4.0 maakt ook de levering mogelijk van extra plug-ins vanaf de C2-server waarmee schermafbeeldingen kunnen worden gemaakt en gevoelige documenten van het aangetaste systeem kunnen worden geüpload.
“Winos4.0 is een krachtig raamwerk, vergelijkbaar met Cobalt Strike en Sliver, dat meerdere functies kan ondersteunen en gecompromitteerde systemen gemakkelijk kan controleren”, aldus Fortinet. “Bedreigingscampagnes maken gebruik van game-gerelateerde applicaties om een slachtoffer ertoe te verleiden de malware zonder voorzichtigheid te downloaden en uit te voeren en met succes een diepgaande controle over het systeem uit te voeren.”