Siber güvenlik araştırmacıları, bir komuta ve kontrol (C&C) çerçevesinin çağrıldığı konusunda uyarıyorlar. Şaraplar kurulum araçları, hız artırıcılar ve optimizasyon yardımcı programları gibi oyunla ilgili uygulamalar içinde dağıtılmaktadır.
Fortinet FortiGuard Labs, The Hacker News ile paylaştığı bir raporda, “Winos 4.0, kapsamlı işlevsellik, istikrarlı bir mimari ve daha fazla eylemi gerçekleştirmek için çok sayıda çevrimiçi uç nokta üzerinde etkili kontrol sunan gelişmiş bir kötü amaçlı yazılım çerçevesidir.” dedi. “Gh0st RAT’tan yeniden oluşturuldu ve her biri farklı işlevleri yerine getiren çeşitli modüler bileşenler içeriyor.”
Winos 4.0’ı dağıtan kampanyalar Haziran ayında Trend Micro ve KnownSec 404 Ekibi tarafından belgelendi. Siber güvenlik şirketleri, faaliyet kümesini Void Arachne ve Silver Fox isimleri altında takip ediyor.
Bu saldırıların, kötü amaçlı yazılımı dağıtmak için siyah şapkalı Arama Motoru Optimizasyonu (SEO) taktiklerinden, sosyal medyadan ve Telegram gibi mesajlaşma platformlarından yararlanarak Çince konuşan kullanıcıları hedef aldığı gözlemlendi.
Fortinet’in son analizi, oyunla ilgili kötü amaçlı uygulamaları çalıştıran kullanıcıların, uzak bir sunucudan sahte bir BMP dosyası (“ad59t82g) almakla başlayan çok aşamalı bir enfeksiyon sürecini tetiklediğini gösteriyor.”[.]com”) daha sonra dinamik bağlantı kitaplığına (DLL) dönüştürülür.
DLL dosyası, aynı sunucudan üç dosyayı indirerek yürütme ortamının ayarlanmasıyla ilgilenir: t3d.tmp, t4d.tmp ve t5d.tmp; bunlardan ilk ikisi daha sonra yürütülebilir bir dosya içeren bir sonraki yük kümesini elde etmek için paketten çıkarılır. (“u72kOdQ.exe”) ve “libcef.dll” dahil olmak üzere üç DLL dosyası.
Fortinet, “DLL’nin adı ‘学籍系统’, yani ‘Öğrenci Kayıt Sistemi’ anlamına geliyor ve bu da tehdit aktörünün eğitim kuruluşlarını hedef alıyor olabileceğini gösteriyor.” dedi.
Bir sonraki adımda ikili dosya “libcef.dll”yi yüklemek için kullanılır ve ardından ikinci aşama kabuk kodunu t5d.tmp’den çıkarır ve çalıştırır. Kötü amaçlı yazılım, komuta ve kontrol (C2) sunucusuyla (“202.79.173) bağlantı kurmaya devam ediyor[.]4”) TCP protokolünü kullanarak başka bir DLL (“çevrimiçi modül.dll”) alın.
Winos 4.0’ın bir parçası olan üçüncü aşama DLL, sistem bilgilerini toplamaktan, pano içeriğini kopyalamaktan, OKX gibi kripto para birimi cüzdan uzantılarından veri toplamaktan sorumlu yeni bir DLL modülü (“登录模块.dll”) olan C2 sunucusundan kodlanmış verileri indirir. Cüzdan ve MetaMask ve sunucudan gelecek diğer komutları bekleyerek arka kapı işlevselliğini kolaylaştırma.
Winos 4.0 ayrıca C2 sunucusundan ekran görüntüleri yakalamasına ve ele geçirilen sistemden hassas belgeleri yüklemesine olanak tanıyan ek eklentilerin sağlanmasına da olanak tanıyor.
Fortinet, “Winos 4.0, Cobalt Strike ve Sliver’a benzer, birden fazla işlevi destekleyebilen ve tehlike altındaki sistemleri kolayca kontrol edebilen güçlü bir çerçevedir” dedi. “Tehdit kampanyaları, kurbanı kötü amaçlı yazılımı dikkatli bir şekilde indirmeye ve çalıştırmaya ikna etmek ve sistemin derinlemesine kontrolünü başarılı bir şekilde dağıtmak için oyunla ilgili uygulamalardan yararlanıyor.”
Bulgular, AhnLab Güvenlik İstihbarat Merkezi’nin (ASEC), bilgileri çalabilen ve saldırganlara virüslü sistemler üzerinde uzaktan kontrol verebilen WrnRAT adlı bir kötü amaçlı yazılım yüklemek için kumarla ilgili oyunları taklit eden sahte web sitelerini kullanan bir kampanyayı keşfetmesiyle ortaya çıktı.
ASEC, “Tehdit aktörünün motivasyonunun finansal kazanç olduğu ve ekran görüntüleri yakalamak için kumar oyunu kullanıcılarını hedef aldığı görülüyor” dedi. “Sonuç olarak saldırgan, kumar oyunu kullanıcılarının oyunlarını izleyebilir ve yasa dışı oyun kullanıcıları ek mali kayıplara maruz kalabilir. Kullanıcılar, yükleyicileri yasa dışı ve şüpheli kaynaklardan indirmekten kaçınmalıdır.”