I ricercatori hanno scoperto un nuovo malware, Winos4.0, che si diffonde nascondendosi nelle app di gioco su Windows, come strumento di installazione e potenziatori di prestazioni.
Costruito con componenti modulari, questo malware è in grado di eseguire diverse azioni da remoto, consentendo così ai malintenzionati di esercitare un controllo esteso sui sistemi compromessi.
Il malware Winos4.0 verifica l’estensione del portafoglio crittografico
Secondo FortiGuard Labs, Winos4.0 ha diverse funzioni chiave, tra cui l’esecuzione di controlli per rilevare software antivirus, la scansione di estensioni di portafogli di criptovalute e la raccolta di informazioni di sistema mentre opera silenziosamente in background.
Noto come una variante sofisticata del trojan Gh0stRat , il malware Winos4.0 utilizza un framework modulare per iniettare shellcode dannoso, decodificare file nascosti e caricare moduli essenziali che aiutano a mantenere il controllo sui sistemi compromessi.
https://platform.twitter.com/embed/Tweet.html?dnt=true&embedId=twitter-widget-0&features=eyJ0ZndfdGltZWxpbmVfbGlzdCI6eyJidWNrZXQiOltdLCJ2ZXJzaW9uIjpudWxsfSwidGZ3X2ZvbGxvd2VyX2NvdW50X3N1bnNldCI6eyJidWNrZXQiOnRydWUsInZlcnNpb24iOm51bGx9LCJ0ZndfdHdlZXRfZWRpdF9iYWNrZW5kIjp7ImJ1Y2tldCI6Im9uIiwidmVyc2lvbiI6bnVsbH0sInRmd19yZWZzcmNfc2Vzc2lvbiI6eyJidWNrZXQiOiJvbiIsInZlcnNpb24iOm51bGx9LCJ0ZndfZm9zbnJfc29mdF9pbnRlcnZlbnRpb25zX2VuYWJsZWQiOnsiYnVja2V0Ijoib24iLCJ2ZXJzaW9uIjpudWxsfSwidGZ3X21peGVkX21lZGlhXzE1ODk3Ijp7ImJ1Y2tldCI6InRyZWF0bWVudCIsInZlcnNpb24iOm51bGx9LCJ0ZndfZXhwZXJpbWVudHNfY29va2llX2V4cGlyYXRpb24iOnsiYnVja2V0IjoxMjA5NjAwLCJ2ZXJzaW9uIjpudWxsfSwidGZ3X3Nob3dfYmlyZHdhdGNoX3Bpdm90c19lbmFibGVkIjp7ImJ1Y2tldCI6Im9uIiwidmVyc2lvbiI6bnVsbH0sInRmd19kdXBsaWNhdGVfc2NyaWJlc190b19zZXR0aW5ncyI6eyJidWNrZXQiOiJvbiIsInZlcnNpb24iOm51bGx9LCJ0ZndfdXNlX3Byb2ZpbGVfaW1hZ2Vfc2hhcGVfZW5hYmxlZCI6eyJidWNrZXQiOiJvbiIsInZlcnNpb24iOm51bGx9LCJ0ZndfdmlkZW9faGxzX2R5bmFtaWNfbWFuaWZlc3RzXzE1MDgyIjp7ImJ1Y2tldCI6InRydWVfYml0cmF0ZSIsInZlcnNpb24iOm51bGx9LCJ0ZndfbGVnYWN5X3RpbWVsaW5lX3N1bnNldCI6eyJidWNrZXQiOnRydWUsInZlcnNpb24iOm51bGx9LCJ0ZndfdHdlZXRfZWRpdF9mcm9udGVuZCI6eyJidWNrZXQiOiJvbiIsInZlcnNpb24iOm51bGx9fQ%3D%3D&frame=false&hideCard=false&hideThread=false&id=1854192052977680751&lang=it&origin=https%3A%2F%2Fwww.techopedia.com%2Fnews%2Fnew-malware-spreads-to-windows-pcs-through-gaming-apps&sessionId=32a8e06735869777f68ce0a9a19b70c25c813867&siteScreenName=techopedia&theme=light&widgetsVersion=2615f7e52b7e0%3A1702314776716&width=550px
Winos4.0 utilizza una complessa catena di infezioni che inizia quando un utente installa un’applicazione apparentemente innocua, come un potenziatore di prestazioni o uno strumento di installazione, che contiene segretamente Winos4.0.
Una volta eseguito, il malware avvia una sequenza di attacco scaricando un file Bitmap (BMP) , un formato di file immagine utilizzato per archiviare immagini digitali, da un server remoto controllato dall’aggressore.
Questo file estrae e attiva il file DLL (dynamic link library) di Winos4.0, consentendo al malware di distribuire moduli dannosi aggiuntivi e di garantirne la persistenza sul sistema infetto. Crea chiavi di registro o attività pianificate per raggiungere questo obiettivo, rendendo più difficile per l’utente rilevare o rimuovere il malware.
Ulteriori indagini rivelano anche che il malware comunica con i server di command e control (C2) per ricevere moduli e istruzioni crittografati. Recupera gli indirizzi dei server C2 da chiavi di registro specifiche, assicurandosi di poter mantenere una connessione costante per ricevere ulteriori comandi.
Questa connessione consente al malware di eseguire varie azioni, come la gestione di documenti, l’acquisizione di schermate e il monitoraggio dell’ambiente del sistema infetto, offrendo agli aggressori ampie capacità di sorveglianza.
Considerati i gravi rischi posti da Winos4.0, gli esperti invitano gli utenti a proteggersi scaricando software solo da fonti verificate e utilizzando programmi antivirus affidabili o utilizzando scansione di virustotal.
Seguici anche su:
@INSTAGRAM https://www.instagram.com/hackerpunk2019/
@LINKEDIN https://www.linkedin.com/company/hackerpunk
@FACEBOOK https://www.facebook.com/hackerpunk2019
@EBOOK
https://amzn.to/48exAdf
@EBOOK (English version)
https://amzn.to/4fflbbv
@YOUTUBE https://www.youtube.com/channel/UCiAAq1h_ehRaw3gi09zlRoQ