O malware Winos 4.0, detectado recentemente por pesquisadores de segurança cibernética, está se disseminando de forma alarmante entre jogadores que utilizam ferramentas de otimização de jogos. Utilizando uma estrutura de comando e controle (C&C) avançada, o Winos é distribuído em aplicativos como instaladores de jogos, aceleradores de velocidade e otimizadores de desempenho, comprometendo a segurança dos sistemas infectados.
Novo malware Winos 4.0 explora aplicativos de otimização de jogos para infectar usuários
De acordo com o Fortinet FortiGuard Labs, a nova versão, que foi completamente reestruturada a partir do Gh0st RAT, se destaca por sua arquitetura modular e capacidade de operar em múltiplos endpoints, tornando-o um recurso altamente sofisticado para invasores. Cada módulo desempenha funções específicas, oferecendo uma ampla gama de possibilidades para controlar dispositivos remotamente e expandir as operações do malware.
Distribuição e táticas de infecção
Campanhas identificadas pela Trend Micro e pela KnownSec 404 Team revelam que o Winos 4.0 tem sido distribuído com o uso de táticas de SEO de chapéu preto, além de redes sociais e plataformas de mensagens como o Telegram. O objetivo principal é infectar usuários de língua chinesa, que são atraídos para instalar o malware sob a premissa de melhorias no desempenho de jogos.
Ao iniciar o processo de infecção, o aplicativo malicioso baixa um arquivo BMP falso de um servidor remoto, identificado como “ad59t82g[.]com”. Este arquivo é decodificado para gerar uma biblioteca de vínculo dinâmico (DLL), que configura o ambiente de execução. Esse processo envolve a recuperação de três arquivos adicionais do servidor, dos quais dois são descompactados para fornecer cargas úteis, incluindo executáveis e DLLs.
Configuração e execução maliciosa
Em um passo subsequente, a DLL principal, intitulada “????” (ou “Sistema de Registro de Estudantes”), é executada, o que sugere um possível foco em alvos educacionais. Esse sistema chama uma segunda DLL (“libcef.dll”) para extrair e executar um shellcode de segundo estágio, estabelecendo conexão com um servidor C&C localizado em “202.79.173[.]4”.
Esse servidor remoto permite que o Winos 4.0 realize uma série de atividades de controle, incluindo a entrega de um módulo de login (“????.dll”), que coleta informações do sistema, acessa a área de transferência e monitora dados de extensões de carteiras de criptomoedas, como OKX Wallet e MetaMask.
Capacidade de invasão e controle total
O Winos 4.0 é mais do que apenas um malware invasivo; ele fornece aos invasores ferramentas poderosas para acessar e controlar profundamente os sistemas comprometidos. A estrutura modular permite adicionar plugins adicionais, como capturas de tela e extração de arquivos confidenciais, funcionando de forma similar a ferramentas de ataque como Cobalt Strike e Sliver.
Essa campanha, que utiliza aplicativos relacionados a jogos como isca, expõe jogadores ao risco de comprometer seus dispositivos e dados, destacando a importância de vigilância na instalação de software.
Segurança e proteção
Os especialistas alertam que, para evitar esse tipo de infecção, é essencial verificar a legitimidade de qualquer aplicativo de otimização de jogos antes de baixá-lo, além de manter sistemas de segurança atualizados. A natureza sofisticada do Winos 4.0 exige atenção redobrada, principalmente para jogadores e instituições educacionais, que podem se tornar alvos fáceis devido ao uso de aplicativos de desempenho.
Esse malware representa uma nova onda de ataques altamente direcionados, indicando que o cenário de ameaças cibernéticas continua a evoluir em ritmo acelerado, exigindo estratégias cada vez mais robustas de defesa e conscientização.