Gli hacker stanno prendendo sempre più di mira gli utenti Windows con il framework maligno Winos4.0, distribuito tramite app apparentemente innocue legate ai giochi. Il toolkit è l'equivalente dei framework di post-sfruttamento Sliver e Cobalt Strike ed è stato documentato da Trend Micro quest'estate in un report sugli attacchi contro gli utenti cinesi. All'epoca, un hacker come Void Arachne/Silver Fox adescava le vittime con offerte di vari software (VPN, browser Google Chrome) modificati per il mercato cinese. Naturalmente, questi includevano il componente dannoso. Un report odierno della società di sicurezza informatica Fortinet indica un'evoluzione nell'attività. Infatti, gli hacker ora si affidano a giochi o file legati ai giochi per adescare nuove vittime.
Quando vengono eseguiti gli installer apparentemente legittimi, gli utenti scaricano un file DLL da "ad59t82g[.]com" per avviare un processo di infezione in più fasi. Nella prima fase, un file DLL (you.dll) scarica file aggiuntivi, imposta l'ambiente di esecuzione e stabilisce la persistenza aggiungendo voci nel registro di Windows. In seguito, lo shellcode iniettato carica le API, recupera i dati di configurazione e stabilisce una connessione al server di comando e controllo (C2). Nella terza fase, un altro DLL (上线模块.dll) recupera dati codificati extra dal server C2. In seguito, li memorizza nel registro in "HKEY_CURRENT_USER\\Console\\0" e aggiorna gli indirizzi C2.
Winos4.0: le principali azioni dannose eseguite dal framework
Nell'ultima fase, viene caricato il modulo di login (登录模块.dll), che esegue alcune azioni dannose. In primis raccoglie informazioni di sistema e ambiente (ad esempio, indirizzo IP, dettagli del sistema operativo, CPU). Poi controlla la presenza di software antivirus e di monitoraggio in esecuzione sull'host. In seguito, raccoglie dati su specifiche estensioni del portafoglio di criptovaluta utilizzate dalla vittima. Mantiene poi una connessione backdoor persistente al server C2, consentendo all'aggressore di impartire comandi e recuperare dati aggiuntivi. Infine, esfiltra dati dopo aver acquisito screenshot, monitorato le modifiche degli appunti e rubato documenti.
Winos4.0 verifica una serie di strumenti di sicurezza sul sistema, tra cui Kaspersky, Avast, Avira, Symantec, Bitdefender, Dr.Web, Malwarebytes, McAfee, AhnLab, ESET, Panda Security. A questi si aggiunge anche l'ormai interrotto Microsoft Security Essentials. Identificando questi processi, il malware determina se è in esecuzione in un ambiente monitorato e adatta il suo comportamento di conseguenza o interrompe l'esecuzione. Gli hacker hanno continuato a usare il framework Winos4.0 per diversi mesi ormai, e vedere nuove campagne emergere è un'indicazione che il suo ruolo nelle operazioni dannose sembra essersi consolidato. Fortinet descrive il framework come potente e ricorda può essere usato per controllare i sistemi compromessi, con funzionalità simili a Cobalt Strike e Sliver. Gli indicatori di compromissione (IoC) sono disponibili nei report di Fortinet e Trend Micro.