Les criminels utilisent des applications liées aux jeux pour infecter les systèmes Windows avec un logiciel malveillant appelé Winos4.0, leur donnant ainsi un contrôle total sur les machines compromises.
Selon Fortinet, le malware semble avoir été reconstruit à partir de Gh0strat et comporte plusieurs composants, chacun gérant une fonction différente.
L’atelier de sécurité a découvert « plusieurs » échantillons cachés dans les outils d’installation de jeux, les boosters de vitesse et les utilitaires d’optimisation. Fortinet dit que cela est similaire à Cobalt Strike et Sliver. Tous deux sont des outils légitimes de l’équipe rouge et sont également les favoris des criminels, qui utilisent des versions crackées pour le déploiement de ransomwares et d’autres logiciels malveillants, les mouvements latéraux, le cyberespionnage et d’autres activités néfastes.
Winos4.0 aurait été utilisé dans plusieurs campagnes d’attaque, notamment Silver Fox, soupçonné d’être associé au gouvernement chinois.
« L’ensemble de la chaîne d’attaque implique plusieurs données cryptées et de nombreuses communications C2 pour compléter l’injection », a prévenu Fortinet. « Les utilisateurs doivent connaître les sources des nouvelles applications et télécharger des logiciels uniquement à partir de sources autorisées. »
Les attaques commencent par des leurres liés au jeu. Une fois que la victime exécute l’application, elle télécharge un faux fichier BMP depuis ‘ad59t82g(.)com’ et démarre le processus d’infection.
La première étape est un fichier DLL qui configure l’environnement d’exécution, injecte le shellcode et établit la persistance. Le nom de la DLL est « système d’enregistrement des étudiants », ce qui signifie « système d’enregistrement des étudiants », ce qui indique que les attaquants peuvent cibler des organisations du secteur de l’éducation.
Dans la deuxième étape, le shellcode charge l’API, obtient une adresse de commande et de contrôle (C2) et établit la communication avec le serveur contrôlé par l’attaquant.
Ensuite, un fichier DLL appelé « Ueline Mojo » télécharge les données codées depuis le serveur C2 et les stocke dans le registre « HKEY_CURRENT_USER \\Console\\0\\ d33f351a4aeea5e608853d1a56661059 ».
Enfin, dans la quatrième étape, le fichier DLL « modèle d’enregistrement » contient la charge utile principale qui effectue toutes les activités malveillantes sur la machine infectée.
Collecte des informations sur l’hôte infecté, notamment l’adresse IP, le nom de l’ordinateur, le système d’exploitation, le processeur, le disque, la carte réseau, le nom du répertoire et l’heure.
Ce module vérifie également si un logiciel lié à la surveillance du système est en cours d’exécution sur la machine et si un appareil antivirus est présent.
Il recherche les extensions de portefeuille de crypto-monnaie et stocke leurs informations, tout en prenant des captures d’écran, en volant des documents et en surveillant l’activité des utilisateurs.
De plus, le dernier module établit une porte dérobée persistante vers le serveur C2, permettant à l’attaquant de rester sur la machine de la victime pendant une période prolongée. ®
