Los investigadores de ciberseguridad advierten que un marco de comando y control (C&C) llamado borrachos se distribuye dentro de aplicaciones relacionadas con juegos, como herramientas de instalación, aceleradores de velocidad y utilidades de optimización.
“Winos 4.0 es un marco malicioso avanzado que ofrece una funcionalidad integral, una arquitectura estable y un control eficiente sobre numerosos puntos finales en línea para ejecutar acciones adicionales”, Fortinet FortiGuard Labs dicho en un informe compartido con The Hacker News. “Reconstruido a partir de Gh0st RAT, incluye varios componentes modulares, cada uno de los cuales maneja funciones distintas”.
Las campañas de distribución de Winos 4.0 fueron documentadas en junio por Trend Micro y el equipo KnownSec 404. Las empresas de ciberseguridad están rastreando el grupo de actividades bajo los nombres Void Arachne y Silver Fox.
Estos ataques se han observado dirigidos a usuarios de habla china, aprovechando tácticas de optimización de motores de búsqueda (SEO) de sombrero negro, redes sociales y plataformas de mensajería como Telegram para distribuir el malware.
El último análisis de Fortinet muestra que los usuarios que terminan ejecutando aplicaciones maliciosas relacionadas con juegos desencadenan un proceso de infección de varias etapas que comienza con la recuperación de un archivo BMP falso de un servidor remoto (“ad59t82g[.]com”) que luego se decodifica en una biblioteca de vínculos dinámicos (DLL).
El archivo DLL se encarga de configurar el entorno de ejecución descargando tres archivos del mismo servidor: t3d.tmp, t4d.tmp y t5d.tmp, los dos primeros de los cuales se descomprimen posteriormente para obtener el siguiente conjunto de cargas útiles que comprenden un ejecutable. (“u72kOdQ.exe”) y tres archivos DLL, incluido “libcef.dll”.
“La DLL se llama ‘学籍系统’, que significa ‘Sistema de registro de estudiantes’, lo que sugiere que el actor de la amenaza puede estar apuntando a organizaciones educativas”, dijo Fortinet.
En el siguiente paso, el binario se emplea para cargar “libcef.dll”, que luego extrae y ejecuta el código shell de segunda etapa de t5d.tmp. El malware procede a establecer contacto con su servidor de comando y control (C2) (“202.79.173[.]4”) utilizando el protocolo TCP y recuperar otra DLL (“上线模块.dll”).
La DLL de tercera etapa, parte de Winos 4.0, descarga datos codificados del servidor C2, un nuevo módulo DLL (“登录模块.dll”) que es responsable de recopilar información del sistema, copiar el contenido del portapapeles y recopilar datos de extensiones de billetera de criptomonedas como OKX. Wallet y MetaMask, y facilitando la funcionalidad de puerta trasera esperando más comandos del servidor.
Winos 4.0 también permite la entrega de complementos adicionales desde el servidor C2 que le permiten realizar capturas de pantalla y cargar documentos confidenciales desde el sistema comprometido.
“Winos 4.0 es un marco poderoso, similar a Cobalt Strike y Sliver, que puede soportar múltiples funciones y controlar fácilmente sistemas comprometidos”, dijo Fortinet. “Las campañas de amenazas aprovechan las aplicaciones relacionadas con los juegos para atraer a la víctima a descargar y ejecutar el malware sin precaución y desplegar con éxito un control profundo del sistema”.
About the Author
