Exploração avançada

Hackers usam kit Winos4.0 para explorar sistemas Windows

Hackers intensificam ataques contra usuários de Windows utilizando o framework Winos4.0, que distribui malware disfarçado em aplicativos de jogos. O malware coleta informações do sistema e mantém conexão com o servidor C2, representando uma ameaça persistente.

imagem de hacker

Nos últimos meses, aumentaram os relatos de ataques direcionados a usuários do sistema Windows por meio do framework Winos4.0, um conjunto de ferramentas maliciosas de pós-exploração. A abordagem começa pela distribuição disfarçada em aplicativos relacionados a jogos, que parecem legítimos, mas trazem embutidos componentes maliciosos.

Hackers intensificam ataques com o Winos4.0 em sistemas Windows

Este toolkit é comparável aos frameworks Sliver e Cobalt Strike, conhecidos por suas capacidades de pós-exploração, conforme documentado pela Trend Micro em relatório recente que destaca campanhas focadas em usuários chineses. Um grupo de hackers, rastreado como Void Arachne/Silver Fox, tem atraído vítimas oferecendo versões modificadas de software popular, como VPNs e navegadores, adaptadas para o mercado chinês, mas contendo o componente malicioso.

Arquivos maliciosos infectando usuários com Winos4.0
Arquivos maliciosos infectando usuários com Winos4.0 Imagem: Fortinet

Evolução da Ameaça: Foco em Jogos e Arquivos Relacionados

Recentemente, a Fortinet, uma empresa de segurança cibernética, relatou uma evolução nas atividades associadas ao Winos4.0, apontando que agora hackers estão explorando aplicativos de jogos e arquivos relacionados para atingir usuários chineses. Ao executar instaladores aparentemente legítimos, uma DLL (you.dll) é baixada de “ad59t82g[.]com”, iniciando um processo de infecção em várias etapas.

Etapas do Processo de Infecção

  1. Primeira Etapa: A DLL inicial baixa arquivos adicionais e configura o ambiente, inserindo entradas no Registro do Windows para estabelecer persistência no sistema infectado.
  2. Segunda Etapa: Códigos maliciosos executam APIs e recuperam dados de configuração, conectando o sistema ao servidor de comando e controle (C2).
  3. Terceira Etapa: Um módulo adicional baixa mais dados codificados e atualiza endereços do servidor C2 no Registro do Windows em “HKEY_CURRENT_USER\Console\0”.
  4. Quarta Etapa: O módulo de login realiza ações principais, como:
    • Coleta de informações do sistema e ambiente (IP, detalhes do sistema operacional, CPU).
    • Detecção de antivírus e softwares de monitoramento no sistema.
    • Busca por dados específicos, como extensões de carteira de criptomoedas usadas pela vítima.
    • Manutenção de uma conexão persistente com o servidor C2, permitindo que o hacker emita comandos e colete informações adicionais.
    • Exfiltração de dados, incluindo capturas de tela e documentos, além de monitoramento de mudanças na área de transferência.

Defesa Contra o Winos4.0

Para evitar a detecção, o Winos4.0 verifica se há ferramentas de segurança ativas no sistema, incluindo soluções como Kaspersky, Avast, Malwarebytes, e ESET, entre outras. Caso identifique a presença de qualquer uma dessas ferramentas, o malware ajusta seu comportamento ou interrompe a execução.

Segundo a Fortinet, o Winos4.0 se consolidou como uma ferramenta robusta e versátil para controlar sistemas comprometidos, rivalizando com frameworks como Cobalt Strike e Sliver. O relatório fornece indicadores de comprometimento (IoCs) que ajudam a identificar sistemas afetados.