安全专家警告称,高级黑客工具包 Winos4.0 已在全球传播。
趋势科技最初报告称,这款新工具包与知名工具包 Cobalt Strike 和 Sliver 一样,与最近发生的一系列网络攻击有关,最初是通过虚假软件下载传播的。今年,Fortinet 报告称,该工具包还通过游戏主题文件传播,目前这种传播方式有扩大的趋势,可能对更大的用户群构成威胁。
攻击框架
Winso4.0 是一个后漏洞利用工具包:在成功获得对系统的初始访问权限后,攻击者会利用它进行进一步的入侵和控制。
首先,它出现在用户下载的应用程序中,这些用户认为它是他们感兴趣的软件,包括 VPN 或针对中国市场的 Google Chrome 下载。在别名 Void Arachne 或 Silver Fox 下,攻击者利用这些非常流行的应用程序引诱用户,这些应用程序充满了旨在破坏其系统的恶意组件。
新的策略是攻击者使用游戏应用程序传播 Winos4.0,同样主要针对中国用户。这样,黑客就会改变并利用有吸引力的下载来侵入设备。
攻击链
恶意游戏
感染阶段
当受害者下载其中一个看似无害的文件时,Winos4.0工具包会启动四个阶段的感染:
1. 第 1 阶段:安装后,从远程域检索 DLL 文件 you.dll。此文件通过设置 Windows 注册表中的值在设备上安装持久性,以便恶意软件在系统重新启动后仍能持久存在:
2. 第 2 阶段:在此步骤中,加载注入的 shellcode 以下载必要的 API 并与 C2 服务器通信,这使黑客能够从受感染的设备发送命令并检索文件。
3. 第 3 阶段:它从 C2 服务器获取更多编码数据,这些数据存储在第二个 DLL 文件中,该文件名为上线模块.dll,并保存到 Windows 注册表中以供以后使用,同时更新服务器地址以维持恶意软件与其操作员之间的活动链接。
4. 最后阶段:最后阶段(login module.dll)将激活该工具包的所有主要功能,包括详细的系统数据收集(如 IP 地址和操作系统类型)、安全工具检测、加密钱包搜索以及隐藏后门。通过此后门连接,黑客可以窃取数据、执行命令并维持其活动监控。
逃避技术
Winos4.0 已经内置了扫描程序,用于检测安全产品,包括卡巴斯基、Avast、Bitdefender 和 Malwarebytes 的商业产品。
如果该工具包发现自己在受监视的环境中运行,它会改变其行为以避免被检测到,甚至退出。这种多功能性使得该工具在落入网络犯罪分子手中时非常危险。
新兴威胁
Winos4.0工具包仍在使用和微调,这一事实表明该工具包在网络攻击策略中的重要性日益增加。
正如Fortinet所解释的那样,它是一个多功能且功能强大的框架,“旨在远程控制受感染的系统”。这样的持续活动表明,Winos4.0正成为黑客用来控制Windows机器的工具。
预防措施
随时准备下载是安全专家对用户的不断警告,尤其是当涉及到看似流行的免费软件或游戏时。
避免从未知来源下载应用程序和其他形式的文件。即使验证软件或文件是否来自合法来源也可能使其免受感染。此外,必须经常更新安全软件。
了解 Winos4.0 的威胁可以让许多用户意识到这种复杂的恶意软件,从而防止他们受到这种恶意软件的侵害。
技术报告:https://www.fortinet.com/blog/threat-research/threat-campaign-spreads-winos4-through-game-application
新闻链接:
https://www.cysecurity.news/2024/11/growing-use-of-winos40-toolkit-poses.html
