Οι χάκερ στοχεύουν όλο και περισσότερο τους χρήστες των Windows με το κακόβουλο πλαίσιο Winos4.0, το οποίο διανέμεται μέσω φαινομενικά καλοήθων εφαρμογών που σχετίζονται με παιχνίδια.
Η εργαλειοθήκη είναι το ισοδύναμο των πλαισίων μετά την εκμετάλλευση Sliver and Cobalt Strike και τεκμηριώθηκε από Trend Micro αυτό το καλοκαίρι σε μια αναφορά για επιθέσεις κατά Κινέζων χρηστών.
Εκείνη την εποχή, ένας παράγοντας απειλών που παρακολουθούνταν ως Void Arachne/Silver Fox παρέσυρε θύματα με προσφορές διαφόρων λογισμικών (VPN, πρόγραμμα περιήγησης Google Chrome) τροποποιημένο για την κινεζική αγορά που συνόδευε το κακόβουλο στοιχείο.
Μια έκθεση σήμερα από την εταιρεία κυβερνοασφάλειας Fortinet δείχνει μια εξέλιξη στη δραστηριότητα, με τους χάκερ να βασίζονται πλέον σε παιχνίδια και αρχεία που σχετίζονται με παιχνίδια στη συνεχή στόχευση Κινέζων χρηστών.
Πηγή: Fortinet
Όταν εκτελούνται τα φαινομενικά νόμιμα προγράμματα εγκατάστασης, πραγματοποιούν λήψη ενός αρχείου DLL από το “ad59t82g[.]com» για να ξεκινήσει μια διαδικασία μόλυνσης πολλαπλών βημάτων.
Στο πρώτο στάδιο, ένα αρχείο DLL (you.dll) πραγματοποιεί λήψη πρόσθετων αρχείων, ρυθμίζει το περιβάλλον εκτέλεσης και εδραιώνει την επιμονή προσθέτοντας καταχωρίσεις στο μητρώο των Windows.
Στο δεύτερο στάδιο, ο κώδικας φλοιού που εισάγεται φορτώνει API, ανακτά δεδομένα διαμόρφωσης και δημιουργεί μια σύνδεση με τον διακομιστή εντολών και ελέγχου (C2).
Στην τρίτη φάση, ένα άλλο DLL (上线模块.dll) ανακτά επιπλέον κωδικοποιημένα δεδομένα από τον διακομιστή C2, τα αποθηκεύει στο μητρώο στο “HKEY_CURRENT_USER\\Console\\0” και ενημερώνει τις διευθύνσεις C2.
Πηγή: Fortinet
Στο τελευταίο στάδιο της αλυσίδας επίθεσης, φορτώνεται η λειτουργική μονάδα σύνδεσης (登录模块.dll), η οποία εκτελεί τις κύριες κακόβουλες ενέργειες:
- Συλλέγει πληροφορίες συστήματος και περιβάλλοντος (π.χ. διεύθυνση IP, λεπτομέρειες λειτουργικού συστήματος, CPU).
- Ελέγχει για λογισμικό προστασίας από ιούς και παρακολούθησης που εκτελείται στον κεντρικό υπολογιστή.
- Συγκεντρώνει δεδομένα για συγκεκριμένες επεκτάσεις πορτοφολιού κρυπτονομισμάτων που χρησιμοποιούνται από το θύμα.
- Διατηρεί μια μόνιμη σύνδεση backdoor με τον διακομιστή C2, επιτρέποντας στον εισβολέα να εκδίδει εντολές και να ανακτά πρόσθετα δεδομένα.
- Διεγείρει δεδομένα μετά τη λήψη στιγμιότυπων οθόνης, την παρακολούθηση για αλλαγές στο πρόχειρο και την κλοπή εγγράφων.
Πηγή: Fortinet
Το Winos4.0 ελέγχει για μια ποικιλία εργαλείων ασφαλείας στο σύστημα, συμπεριλαμβανομένων των Kaspersky, Avast, Avira, Symantec, Bitdefender, Dr.Web, Malwarebytes, McAfee, AhnLab, ESET, Panda Security και του πλέον καταργημένου Microsoft Security Essentials.
Εντοπίζοντας αυτές τις διεργασίες, το κακόβουλο λογισμικό καθορίζει εάν εκτελείται σε περιβάλλον παρακολούθησης και προσαρμόζει τη συμπεριφορά του ανάλογα ή σταματά την εκτέλεσή του.
Οι χάκερ συνέχισαν να χρησιμοποιούν το πλαίσιο Winos4.0 εδώ και αρκετούς μήνες και η εμφάνιση νέων καμπανιών αποτελεί ένδειξη ότι ο ρόλος του σε κακόβουλες λειτουργίες φαίνεται να έχει παγιωθεί.
Η Fortinet περιγράφει το πλαίσιο ως ένα ισχυρό πλαίσιο που μπορεί να χρησιμοποιηθεί για τον έλεγχο παραβιασμένων συστημάτων, με λειτουργικότητα παρόμοια με το Cobalt Strike και το Sliver. Οι δείκτες συμβιβασμού (IoC) είναι διαθέσιμοι στις αναφορές από Fortinet και Trend Micro.
VIA: bleepingcomputer.com
