Hackers estão cada vez mais mirando usuários do Windows com o framework malicioso Winos4.0, distribuído por meio de aplicativos relacionados a jogos que parecem benignos.
O toolkit é equivalente aos frameworks de pós-exploração Sliver e Cobalt Strike e foi documentado pela Trend Micro neste verão em um relatório sobre ataques contra usuários chineses.
Naquela época, um ator de ameaça rastreado como Void Arachne/Silver Fox atraiu vítimas com ofertas de vários softwares (VPNs, navegador Google Chrome) modificados para o mercado chinês que embutiam o componente malicioso.
Um relatório hoje da empresa de cibersegurança Fortinet indica uma evolução na atividade, com hackers agora se apoiando em jogos e arquivos relacionados a jogos em seu contínuo direcionamento a usuários chineses.
Quando os instaladores aparentemente legítimos são executados, eles baixam um arquivo DLL de “ad59t82g[.]com” para iniciar um processo de infecção em múltiplas etapas.
Na primeira etapa, um arquivo DLL (you.dll) baixa arquivos adicionais, configura o ambiente de execução e estabelece persistência adicionando entradas no Registro do Windows.
Na segunda etapa, um shellcode injetado carrega APIs, recupera dados de configuração e estabelece uma conexão com o servidor de comando e controle (C2).
Na terceira fase, outro DLL (上线模块.dll) recupera dados codificados adicionais do servidor C2, armazena-os no registro em "HKEY_CURRENT_USER\\Console\\0" e atualiza os endereços C2.
Na última etapa da cadeia de ataque, o módulo de login (登录模块.dll) é carregado, o qual executa as ações maliciosas primárias:
- Coleta informações do sistema e do ambiente (por exemplo, endereço IP, detalhes do SO, CPU).
- Verifica se há software antivírus e de monitoramento executando no host.
- Coleta dados sobre extensões específicas de carteiras de criptomoedas usadas pela vítima.
- Mantém uma conexão de backdoor persistente com o servidor C2, permitindo que o atacante emita comandos e recupere dados adicionais.
- Exfiltra dados após tirar capturas de tela, monitorar alterações na área de transferência e roubar documentos.
Winos4.0 verifica uma variedade de ferramentas de segurança no sistema, incluindo Kaspersky, Avast, Avira, Symantec, Bitdefender, Dr.Web, Malwarebytes, McAfee, AhnLab, ESET, Panda Security e o agora descontinuado Microsoft Security Essentials.
Ao identificar esses processos, o malware determina se está executando em um ambiente monitorado e ajusta seu comportamento de acordo, ou interrompe a execução.
Hackers continuaram usando o framework Winos4.0 por vários meses, e ver novas campanhas emergindo é uma indicação de que seu papel em operações maliciosas parece ter se solidificado.
A Fortinet descreve o framework como poderoso, que pode ser usado para controlar sistemas comprometidos, com funcionalidade similar a Cobalt Strike e Sliver.
Indicadores de comprometimento (IoCs) estão disponíveis nos relatórios da Fortinet e Trend Micro.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...