Winos4.0 adı verilen karmaşık bir kötü amaçlı yazılım, Windows tabanlı sistemlere sızmak için zararsız oyun uygulamaları gibi görünüyor. Çok aşamalı saldırı, veri hırsızlığı riskleri ve ortaya çıkan bu tehdide karşı kendinizi nasıl koruyacağınız hakkında bilgi edinin.
Fortinet’in FortiGuard Laboratuarlarındaki siber güvenlik araştırmacıları, Microsoft Windows kullanıcılarını hedef almak ve Cobalt Strike ve Sliver’a benzer yeni ve gelişmiş bir kötü amaçlı yazılım çerçevesi olan Winos4.0’ı sunmak için oyunla ilgili uygulamalardan yararlanan yeni bir kötü amaçlı kampanya tespit etti.
Bu uygulamalar indirilip çalıştırıldıktan sonra Truva atı görevi görür ve Winos4.0 çerçevesini indirip yükler.
Şirketin 6 Kasım Çarşamba günü yayınlanmadan önce Hackread.com ile paylaştığı bulgular; kurulum araçları, hız artırıcılar ve optimizasyon yardımcı programları da dahil olmak üzere oyunla ilgili uygulamalarda gizlenen bu kötü amaçlı yazılımın çok sayıda örneğini tespit etti. Kodu çözülen DLL dosyasını analiz ederek, “校园政务” (Kampüs Yönetimi) dosya açıklamasında belirtildiği gibi eğitim sektörünün potansiyel hedeflemesini öğrendiler.
Winos4.0 çerçevesi kapsamlı işlevsellik, istikrarlı bir mimari ve çok sayıda çevrimiçi uç nokta üzerinde etkili kontrol sunar. Çinli bilgisayar korsanlığı grubu C. Rufus Güvenlik Ekibi tarafından 2008 yılında oluşturulan güçlü bir uzaktan erişim truva atı olan Gh0stRat’tan yeniden oluşturulmuştur. Ayrıca, her biri farklı işlevleri yerine getiren çeşitli modüler bileşenler içerir. Yetenekleri göz önüne alındığında Winos4.0, Silver Fox gibi birden fazla saldırı kampanyasında zaten kullanıldı.
Bu çok aşamalı saldırı, uzak bir sunucudan sahte bir BMP dosyasının alınmasıyla başlar, daha sonra bu dosyanın kodu XOR ile çözülür ve “you.dll” adlı bir DLL dosyası çıkarılır. Bu dosya bir sonraki aşamaya geçmek için “siz” dışa aktarma işlevi aracılığıyla yüklenir.
“You.dll”, rastgele bir adla bir klasör oluşturduktan sonra uzak yoldan üç dosya indirir, birini temiz dosyaları (u72kOdQ.exe, MSVCP140.dll ve VCRUNTIME140.dll) ortaya çıkarmak için çıkarır ve diğerini ana kötü amaçlı dosyayı ortaya çıkarmak için çıkarır. , “libcef.dll”. Çıkarılan dosyalar daha sonra kabuk kodunu enjekte etmek ve bir XOR anahtarı kullanarak başka bir dosyanın kodunu çözmek için “libcef.dll” dosyasını yükler.
Enjekte edilen kabuk kodu, TCP protokolünü kullanarak bir bağlantı kurmak için API’leri yükler ve yapılandırma verilerini alır, şifrelenmiş verilerle yanıt veren C2 sunucusuna bir dize gönderir. Verilerin şifresi XOR kullanılarak çözülür ve bir modül yürütülür. Modül (上线模块.dll), C2 sunucusundan verileri indirir ve adresini kayıt defterine kaydederek saldırının son aşamasına zemin hazırlar.
Son aşama, kilitlenmenin yeniden başlatılmasını etkinleştirme, pano içeriğini kaydetme, belirli uygulamalar için pencere başlık çubuğunu kontrol etme, sistem bilgilerini toplama, kripto cüzdan uzantılarını kontrol etme, anti-virüs cihazlarını kontrol etme, oturum açma bilgilerini gönderme gibi görevleri gerçekleştiren 登录模块.dll dosyasını başlatır. mesajlar ve kalp atışlarıyla C2 sunucusuyla bağlantıyı sürdürmek.
Winos4.0’ın yetenekleri, tehlikeye atılmış sistemleri kolayca kontrol etmek için kullanılabilecek güçlü bir çerçeve olduğunu göstermektedir. Araştırmacılar, kullanıcıların herhangi bir yeni uygulamanın kaynağından haberdar olmasını ve yazılımı yalnızca nitelikli kaynaklardan indirmesini öneriyor.
Bu nedenle üçüncü taraf uygulama mağazalarından ve web sitelerinden uygulama ve yazılım indirmekten kaçının. Bunları çalıştırmadan önce URL’leri ve indirilen dosyaları VirusTotal’da tarayın. Özellikle yeni dosyalar indirdikten sonra cihazlarınızı düzenli olarak tarayın. Ofis ortamlarında sistemlerin iş istasyonlarına uygulama indirmesini engelleyin.
İLGİLİ KONULAR
- Android Kötü Amaçlı Yazılım, Veri Çalmak İçin WhatsApp ve Instagram Gibi Görünüyor
- TodoSwift Kötü Amaçlı Yazılım, Bitcoin PDF Uygulaması Kılığında macOS’u Hedefliyor
- Octo2 Kötü Amaçlı Yazılımı Android Telefonlara Bulaşmak İçin Sahte NordVPN Uygulamaları Kullanıyor
- SideWinder bilgisayar korsanları Play Store’daki kötü amaçlı yazılım uygulamalarıyla Android kullanıcılarını vurdu
- Güvenlik Uygulaması Gibi Görünen Yeni BingoMod Android Kötü Amaçlı Yazılımı Verileri Siliyor