Hacker kini semakin menyerang pengguna Windows dengan kerangka Winos4.0 yang berbahaya, yang tersebar melalui aplikasi permainan yang nampaknya tidak mengancam.
Kit ini setaraf dengan framework pasca-eksploitasi seperti Sliver dan Cobalt Strike, dan telah dilaporkan oleh Trend Micro musim panas ini mengenai serangan terhadap pengguna di China.
Ketika itu, seorang penyerang yang dikenali sebagai Void Arachne/Silver Fox memancing mangsa dengan tawaran pelbagai perisian (VPN, pelayar Google Chrome) yang diubah suai untuk pasaran China, dan menambah komponen berbahaya.
Hari ini, laporan dari syarikat keselamatan siber Fortinet menunjukkan perkembangan baru, di mana hacker kini bergantung pada permainan dan fail berkaitan permainan untuk terus menargetkan pengguna di China.
Apabila installer yang kelihatan sah ini dijalankan, ia akan memuat turun fail DLL dari “ad59t82g[.]com” untuk memulakan proses jangkitan yang berperingkat.
Pada peringkat pertama, fail DLL (you.dll) memuat turun fail tambahan, menyediakan persekitaran pelaksanaan, dan mengekalkan kehadiran dengan menambah entri di Windows Registry.
Pada peringkat kedua, kod shell yang disuntik memuatkan API, mendapatkan data konfigurasi, dan menjalin sambungan ke pelayan arahan dan kawalan (C2).
Pada fasa ketiga, DLL lain (上线模块.dll) mengambil data terenkod tambahan dari pelayan C2 dan menyimpannya pada registry di “HKEY_CURRENT_USER\\Console\\0” sambil mengemas kini alamat C2.
Pada tahap akhir rangkaian serangan, modul login (登录模块.dll) diload, dan ia melakukan tindakan jahat utama:
- Kumpulkan maklumat sistem dan persekitaran (contohnya, alamat IP, butiran OS, CPU).
- Periksa sama ada perisian anti-virus atau pemantauan sedang dijalankan pada host.
- Kumpulkan data tentang sambungan dompet cryptocurrency khusus yang digunakan oleh mangsa.
- Menjaga sambungan backdoor yang berterusan ke pelayan C2, membolehkan penyerang mengeluarkan arahan dan mendapatkan data tambahan.
- Eksfiltrasi data dengan mengambil tangkapan skrin, memantau perubahan clipboard, dan mencuri dokumen.
Winos4.0 menyemak pelbagai alat keselamatan di sistem, termasuk Kaspersky, Avast, Avira, Symantec, Bitdefender, Dr.Web, Malwarebytes, McAfee, AhnLab, ESET, Panda Security, dan Microsoft Security Essentials yang sudah ditamatkan.
Dengan mengenal pasti proses ini, malware dapat menentukan sama ada ia berjalan dalam persekitaran yang dipantau dan mengubah tingkah lakunya, atau menghentikan pelaksanaan.
Hacker terus menggunakan kerangka Winos4.0 selama beberapa bulan, dan munculnya kempen baru menunjukkan bahawa peranannya dalam operasi berbahaya semakin teguh.
Fortinet menggambarkan kerangka ini sebagai alat yangkuasa yang boleh digunakan untuk mengawal sistem yang terjejas, dengan fungsionaliti yang serupa dengan Cobalt Strike dan Sliver. Indikator kompromi (IoCs) boleh didapati dalam laporan dari Fortinet dan Trend Micro.