Il malware Winos4.0 è un nuovo attacco malizioso che sta causando preoccupazione tra gli utenti di Windows. Questo malware è stato scoperto da FortiGuard Labs e sta essere distribuito attraverso app di gioco false, come strumenti di installazione, acceleratori di prestazioni e utilità di ottimizzazione. In questo articolo, esploreremo come funziona il malware Winos4.0, i suoi obiettivi e come proteggersi da questo attacco.
Funzionamento del Malware
Il malware Winos4.0 è un framework malizioso avanzato che deriva da Gh0stRat, un potente trojan di accesso remoto creato dalla squadra di hacking cinese C. Rufus Security Team nel 2008. Questo malware opera in diverse fasi:
- Ritiro del File BMP
- Il malware inizia scaricando un file BMP falso da un server remoto. Questo file viene poi decodificato utilizzando XOR, estrae un file DLL denominato “you.dll” e lo carica attraverso la sua funzione di esportazione “you”.
- Estrazione dei File
- Il file DLL scaricato crea una cartella con un nome casuale e scarica tre file da un percorso remoto:
u72kOdQ.exe,MSVCP140.dlleVCRUNTIME140.dll. Questi file vengono estratti e uno di essi rivela il file malizioso principale,libcef.dll.
- Il file DLL scaricato crea una cartella con un nome casuale e scarica tre file da un percorso remoto:
- Iniezione del Codice Shell
- Il file
libcef.dllviene caricato e inietta codice shell. Questo codice carica altre librerie e decodifica altri file utilizzando un’ulteriore chiave XOR.
- Connessione al Server C2
- Il codice shell iniettato carica API e recupera dati di configurazione per stabilire una connessione TCP con un server C2. Il server risponde con dati criptati, che vengono decodificati utilizzando XOR e un modulo viene eseguito. Questo modulo scarica dati dal server C2 e registra l’indirizzo del server nella chiave di registro, preparando la fase finale dell’attacco.
- Fase Finale dell’Attacco
- La fase finale dell’attacco viene avviata con l’esecuzione del modulo
登录模块.dll, che esegue varie funzioni come abilitare il riavvio in caso di crash, registrare il contenuto della clipboard, controllare la barra dei titoli delle finestre per applicazioni specifiche, raccogliere informazioni del sistema, controllare estensioni di borsa criptovaluta, controllare dispositivi antivirus e mantenere la connessione con il server C2 inviando messaggi di heartbeat.
- La fase finale dell’attacco viene avviata con l’esecuzione del modulo
Obiettivi del Malware
Il malware Winos4.0 è stato progettato per eseguire una vasta gamma di azioni remote e offrire ai malintenzionati un controllo estensivo sui sistemi compromessi. Tra le funzioni principali del malware ci sono:
- Monitoraggio della Clipboard
- Raccolta di Informazioni del Sistema
- Controllo di Estensioni di Borsa Criptovaluta
- Controllo di Dispositivi Antivirus
- Captura di Schermate e Documenti Sensibili
Il malware sembra anche avere un obiettivo specifico nei confronti delle organizzazioni educative, come indicato dalla descrizione del file “校园政务” (Campus Administration).
Come Proteggersi
Per proteggersi dal malware Winos4.0, è importante adottare alcune misure di sicurezza:
- Verifica della Sorgente
- Assicurarsi di scaricare solo software da fonti qualificate e verificare la reputazione dell’applicazione prima di installarla.
- Scansione dei File
- Utilizzare strumenti di scansione come VirusTotal per verificare la sicurezza dei file scaricati.
- Scansione Regolare dei Dispositivi
- Eseguire regolarmente scansioni dei dispositivi, soprattutto dopo aver scaricato nuovi file.
- Blocco delle Applicazioni sui Lavoratori
- In ambienti di lavoro, bloccare i sistemi dai download di app sulle postazioni di lavoro.
- Consapevolezza dell’Utente
- Educare gli utenti a essere consapevoli delle app che scaricano e a non eseguire applicazioni sconosciute.
- Utilizzo di Antivirus
- Utilizzare un antivirus aggiornato per monitorare i file scaricati e identificare eventuali minacce.
- Controllo delle Applicazioni
- Verificare periodicamente le app installate sul dispositivo per assicurarsi che non siano state installate applicazioni malizie.
- Utilizzo di Strumenti di Sicurezza
- Utilizzare strumenti di sicurezza avanzati come firewall e strumenti di monitoraggio del sistema per identificare e bloccare eventuali attacchi.
Il malware Winos4.0 rappresenta una minaccia significativa per gli utenti di Windows, poiché è stato progettato per eseguire una vasta gamma di azioni remote e offrire ai malintenzionati un controllo estensivo sui sistemi compromessi. È importante essere consapevoli delle app che scarichiamo e adottare misure di sicurezza efficaci per proteggerci da questo attacco malizioso.
Fonte: https://ciso2ciso.com/new-winos4-0-malware-targeting-windows-via-fake-gaming-apps-sourcehackread-com
