网络安全专家发现了一种针对 Windows 游戏玩家的新威胁:恶意 Winos4.0 框架,它伪装成游戏安装和优化工具。 Winos4.0 最初由 Fortinet 的 FortiGuard 实验室发现,现已迅速发展成为一个复杂的恶意软件平台,对受感染的系统具有广泛的控制能力。下面,我们探讨Winos4.0的工作原理、它对用户的影响以及面临风险的领域。
什么是Winos4.0以及它是如何工作的?
Winos4.0 是一个恶意软件框架,它将自身嵌入到与游戏相关的看似良性的应用程序中,例如速度增强器和安装工具。该恶意软件使用多个阶段进行渗透、建立持久性并允许攻击者远程控制受感染的系统。 据福廷特报道,当用户在不知情的情况下下载受感染的游戏应用程序时,感染的第一阶段就开始了。一旦安装,Winos4.0就会启动一个多步骤的感染过程:
- 下载并执行恶意文件:恶意应用程序从外部服务器检索伪装的 .bmp 文件。该文件提取动态链接库(DLL)文件,使恶意软件能够集成到系统中。
- 注册表修改:恶意软件使用 DLL 文件通过创建注册表项来设置持久环境。这确保了Winos4.0即使在系统重新启动后仍保持活动状态。
- Shellcode注入和API加载:在以下步骤中,恶意软件注入 shellcode 来加载应用程序编程接口 (API)、检索配置数据并建立命令和控制 (C2) 连接。
- 先进的 C2 通信:Winos4.0频繁与C2服务器通信,允许远程操作员发送命令并下载附加模块以进行进一步利用。
Fortinet强调“Winos4.0是一个强大的框架……可以支持多种功能并轻松控制受感染的系统”,敦促用户避免下载未经验证的软件。
Winos4.0的恶意能力
一旦完全嵌入到用户的系统中,Winos4.0就可以执行多种危害用户隐私和数据安全的有害操作。 Winos4.0的主要功能包括:
- 系统监控:恶意软件收集系统信息,例如 IP 地址、操作系统详细信息和 CPU 规格。
- 屏幕和剪贴板捕获:Winos4.0可以截图并监控剪贴板,可能捕获敏感信息,包括密码和加密货币钱包地址。
- 监视和数据泄露:该恶意软件利用与 C2 服务器的连接从受感染的系统中窃取数据,使攻击者能够收集文档、拦截屏幕活动并监控剪贴板内容。
- 反检测机制:Winos4.0 检查是否存在 Kaspersky、Bitdefender 和 Malwarebytes 等供应商的防病毒软件。如果它检测到此类软件,它会调整其行为以避免检测或完全停止执行。
当心 Octo2 恶意软件 针对欧洲银行,伪装成流行应用程序
Fortinet 的研究还指出,Winos4.0 专门寻找受感染系统上的加密钱包活动,强调了恶意软件设计背后的经济动机。
Winos4.0还可能被用来渗透教育机构。 FortiGuard 实验室注意到恶意软件代码中的参考内容表明可能针对教育部门的系统。例如,在Winos4.0的结构中发现了一个标有“校园管理”的文件,这表明可能有人试图访问学校和大学的管理系统。
针对特定区域的历史
根据网络安全公司Trend Micro和Fortinet的报告,Winos4.0主要分布在用户可能更有可能下载修改软件版本的地区,例如中国。 Silver Fox 和 Void Arachne 等活动利用 Winos4.0 来利用中文用户,利用社交媒体、搜索引擎优化策略和 Telegram 等消息应用程序来传播恶意软件。
这些活动反映了一种日益增长的趋势,即黑客根据地理和文化因素调整恶意软件分发策略,利用针对特定地区定制的软件版本来吸引受害者。
专家指出,Winos4.0与其他知名恶意软件框架有相似之处,例如Cobalt Strike和Sliver。与这些框架一样,Winos4.0允许攻击者远程控制系统并部署各种有助于数据窃取、监控和利用的功能。
Winos4.0的模块化特性意味着它可以轻松更新和修改,使其成为网络犯罪分子的多功能工具。它与 Cobalt Strike 和 Sliver 的相似之处意味着 Winos4.0 有可能成为针对不同用户群体进行持续网络攻击的长期平台。
妥协指标 (IoC)
Fortinet 发布了与 Winos4.0 相关的妥协指标 (IoC) 列表,其中包括特定文件和注册表项。用户可以参考这些 IoC 来检查感染迹象。值得注意的指标包括:
- DLL 文件(如 you.dll)和带有中文文件名的模块(如“上线模块.dll”(登录模块))。
- “HKEY_CURRENT_USER\Console\0”等路径中的注册表修改,其中存储了加密数据并更新了 C2 地址。
这些 IoC 对于组织和个人主动检测和响应 Winos4.0 感染至关重要。
当前的保护和建议
截至目前,Fortinet的防病毒解决方案已经集成了保护机制来检测和阻止Winos4.0。虽然该公司尚未发布详细的删除指南,但 Fortinet 鼓励用户密切监控下载的软件。
专家建议采取以下预防措施,以尽量减少感染风险:
- 只下载受信任的软件:Fortinet 建议用户仅从信誉良好的来源下载应用程序,并谨慎使用非官方网站上可能出现的游戏优化工具。
- 定期更新安全软件:更新防病毒软件可以帮助检测新出现的恶意软件威胁,包括Winos4.0。
- 监控网络流量:异常的网络活动或与未知服务器的连接可能表明存在 Winos4.0 等恶意软件。
特色图片来源: 凯雷姆·葛兰/中途
