Los investigadores de ciberseguridad advierten que un marco de comando y control (C&C) llamado borrachos<\/strong> se distribuye dentro de aplicaciones relacionadas con juegos, como herramientas de instalaci\u00f3n, aceleradores de velocidad y utilidades de optimizaci\u00f3n.<\/p>\n “Winos 4.0 es un marco malicioso avanzado que ofrece una funcionalidad integral, una arquitectura estable y un control eficiente sobre numerosos puntos finales en l\u00ednea para ejecutar acciones adicionales”, Fortinet FortiGuard Labs dicho<\/a> en un informe compartido con The Hacker News. “Reconstruido a partir de Gh0st RAT, incluye varios componentes modulares, cada uno de los cuales maneja funciones distintas”.<\/p>\n Las campa\u00f1as de distribuci\u00f3n de Winos 4.0 fueron documentadas en junio por Trend Micro y el equipo KnownSec 404. Las empresas de ciberseguridad est\u00e1n rastreando el grupo de actividades bajo los nombres Void Arachne y Silver Fox.<\/p>\n Estos ataques se han observado dirigidos a usuarios de habla china, aprovechando t\u00e1cticas de optimizaci\u00f3n de motores de b\u00fasqueda (SEO) de sombrero negro, redes sociales y plataformas de mensajer\u00eda como Telegram para distribuir el malware.<\/p>\n El \u00faltimo an\u00e1lisis de Fortinet muestra que los usuarios que terminan ejecutando aplicaciones maliciosas relacionadas con juegos desencadenan un proceso de infecci\u00f3n de varias etapas que comienza con la recuperaci\u00f3n de un archivo BMP falso de un servidor remoto (“ad59t82g[.]com”) que luego se decodifica en una biblioteca de v\u00ednculos din\u00e1micos (DLL).<\/p>\n El archivo DLL se encarga de configurar el entorno de ejecuci\u00f3n descargando tres archivos del mismo servidor: t3d.tmp, t4d.tmp y t5d.tmp, los dos primeros de los cuales se descomprimen posteriormente para obtener el siguiente conjunto de cargas \u00fatiles que comprenden un ejecutable. (“u72kOdQ.exe”) y tres archivos DLL, incluido “libcef.dll”.<\/p>\n “La DLL se llama ‘\u5b66\u7c4d\u7cfb\u7edf’, que significa ‘Sistema de registro de estudiantes’, lo que sugiere que el actor de la amenaza puede estar apuntando a organizaciones educativas”, dijo Fortinet.<\/p>\n En el siguiente paso, el binario se emplea para cargar “libcef.dll”, que luego extrae y ejecuta el c\u00f3digo shell de segunda etapa de t5d.tmp. El malware procede a establecer contacto con su servidor de comando y control (C2) (“202.79.173[.]4”) utilizando el protocolo TCP y recuperar otra DLL (“\u4e0a\u7ebf\u6a21\u5757.dll”).<\/p>\n La DLL de tercera etapa, parte de Winos 4.0, descarga datos codificados del servidor C2, un nuevo m\u00f3dulo DLL (“\u767b\u5f55\u6a21\u5757.dll”) que es responsable de recopilar informaci\u00f3n del sistema, copiar el contenido del portapapeles y recopilar datos de extensiones de billetera de criptomonedas como OKX. Wallet y MetaMask, y facilitando la funcionalidad de puerta trasera esperando m\u00e1s comandos del servidor.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/El-nuevo-malware-Winos-40-infecta-a-los-jugadores-a.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n