Когда за фасадом оптимизации кроется цифровой рэкет.
Исследователи в сфере кибербезопасности сообщают, что известный вредоносный фреймворк Winos 4.0, ранее замеченный в различных кибератаках, теперь распространяется через приложения для геймеров, такие как инструменты для установки, ускорения и оптимизации игр.
Вредоносные программы, распространяющие Winos 4.0
По данным компании Fortinet, Winos 4.0 построен на базе Gh0st RAT и оснащён модульной архитектурой, что позволяет злоумышленникам эффективно контролировать множество устройств и выполнять разнообразные команды. Эксперты Trend Micro и KnownSec 404 Team заметили активность, связанную с Winos 4.0, ещё в июне. Кампании по его распространению были названы Void Arachne и Silver Fox.
Целью атак являются пользователи, говорящие на китайском языке, а для распространения фреймворка используются чёрные методы SEO, социальные сети и мессенджер Telegram.
Механизм заражения начинается с загрузки поддельного BMP-файла с удалённого сервера, который затем декодируется в библиотеку DLL. Этот файл создаёт среду для загрузки дополнительных вредоносных компонентов, включая исполнительные файлы и дополнительные библиотеки, такие как «libcef.dll».
DLL под названием «学籍系统» (что переводится как «Система регистрации студентов») указывает на возможное намерение злоумышленников атаковать образовательные организации. В процессе работы Winos 4.0 устанавливает соединение с командным сервером и получает инструкции для выполнения вредоносных действий, таких как сбор системной информации и данных из криптовалютных кошельков OKX Wallet и MetaMask.
Схема атаки Winos 4.0
Также фреймворк Winos 4.0 поддерживает загрузку дополнительных плагинов, которые позволяют злоумышленникам делать скриншоты и передавать конфиденциальные документы. Fortinet описывает Winos 4.0 как мощный инструмент, аналогичный Cobalt Strike и Sliver, способный управлять заражёнными системами и обеспечивать глубокий доступ к данным пользователей.
Не все помощники и оптимизаторы одинаково полезны: часто за безобидными игровыми утилитами могут скрываться мощные инструменты для слежки и кражи данных. Будьте внимательны, ведь каждая необдуманная загрузка может обернуться потерей данных и/или денежных средств.
Ладно, не доказали. Но мы работаем над этим