Alcuni cybercriminali starebbero sfruttando applicazioni legate ai videogiochi per infettare sistemi Windows con un framework dannoso chiamato Winos4.0. Esso consente agli attaccanti di ottenere il pieno controllo dei dispositivi compromessi.
Cosa è Winos4.0
Secondo un rapporto di Fortinet, Winos4.0 sembra essere una versione ricostruita di Gh0strat e si compone di diversi moduli, ciascuno con funzioni specifiche. La società di sicurezza ha identificato vari campioni di malware nascosti in strumenti di installazione di giochi, acceleratori di prestazioni e utility di ottimizzazione. Winos4.0 condivide delle caratteristiche con strumenti come Cobalt Strike e Sliver, tool legittimi per il red-teaming (la conduzione di attacchi simulati) spesso utilizzati anche da criminali informatici per diffondere ransomware, muoversi abusivamente nelle reti e condurre operazioni di cyberspionaggio.
Questo malware è stato impiegato in diverse campagne malevole, incluso un attacco condotto dal gruppo Silver Fox, sospettato di avere legami con il governo cinese. L’attacco avrebbe avuto inizio tramite un’esca legata al gaming. Una volta che la vittima esegue l’applicazione, viene scaricato un falso file BMP da un server remoto, dando il via al processo di infezione.
Come funziona l’attacco
Il primo stadio dell’attacco prevede l’uso di un file DLL chiamato “学籍系统” (“sistema di registrazione degli studenti”). Ciò suggerisce che il settore educativo possa essere uno dei principali obiettivi. Questo file prepara l’ambiente di esecuzione, inietta il codice malevolo e stabilisce la persistenza sul sistema compromesso. Nel secondo stadio, il codice shell carica le API necessarie e stabilisce la comunicazione con il server di comando e controllo (C2).
Successivamente, un altro file DLL scarica dati codificati dal server C2 e li salva nel registro di sistema. Nel quarto stadio, viene eseguito il payload principale, che raccoglie informazioni sul dispositivo infetto, come indirizzo IP, nome del terminale, sistema operativo, CPU e altre informazioni sensibili.
Il modulo principale crea infine una backdoor persistente verso il server C2, permettendo all’attaccante di mantenere una presenza stabile e duratura sul dispositivo compromesso. Fortinet consiglia quindi di scaricare software esclusivamente da fonti affidabili per evitare il rischio di infezione.
