Τετάρτη, 13 Νοεμβρίου, 2024
ΑρχικήNewsΟι χάκερ χρησιμοποιούν όλο και περισσότερο το Winos4.0 post-exploitation kit σε επιθέσεις

Οι χάκερ χρησιμοποιούν όλο και περισσότερο το Winos4.0 post-exploitation kit σε επιθέσεις


Οι χάκερ στοχεύουν όλο και περισσότερο τους χρήστες των Windows με το κακόβουλο πλαίσιο Winos4.0, το οποίο διανέμεται μέσω φαινομενικά καλοήθων εφαρμογών που σχετίζονται με παιχνίδια.

Η εργαλειοθήκη είναι το ισοδύναμο των πλαισίων μετά την εκμετάλλευση Sliver and Cobalt Strike και τεκμηριώθηκε από Trend Micro αυτό το καλοκαίρι σε μια αναφορά για επιθέσεις κατά Κινέζων χρηστών.

Εκείνη την εποχή, ένας παράγοντας απειλών που παρακολουθούνταν ως Void Arachne/Silver Fox παρέσυρε θύματα με προσφορές διαφόρων λογισμικών (VPN, πρόγραμμα περιήγησης Chrome) τροποποιημένο για την κινεζική αγορά που συνόδευε το κακόβουλο στοιχείο.

Μια έκθεση σήμερα από την εταιρεία κυβερνοασφάλειας Fortinet δείχνει μια εξέλιξη στη δραστηριότητα, με τους χάκερ να βασίζονται πλέον σε παιχνίδια και αρχεία που σχετίζονται με παιχνίδια στη συνεχή στόχευση Κινέζων χρηστών.

Κακόβουλα αρχεία που μολύνουν τους χρήστες με το Winos4.0
Κακόβουλα αρχεία που μολύνουν τους χρήστες με το Winos4.0
Πηγή: Fortinet

Όταν εκτελούνται τα φαινομενικά νόμιμα προγράμματα εγκατάστασης, πραγματοποιούν λήψη ενός υ DLL από το “ad59t82g[.]com» για να ξεκινήσει μια διαδικασία μόλυνσης πολλαπλών βημάτων.

Στο πρώτο στάδιο, ένα αρχείο DLL (you.dll) πραγματοποιεί λήψη πρόσθετων αρχείων, ρυθμίζει το περιβάλλον εκτέλεσης και εδραιώνει την επιμονή προσθέτοντας καταχωρίσεις στο μητρώο των Windows.

Στο δεύτερο στάδιο, ο κώδικας φλοιού που εισάγεται φορτώνει , ανακτά δεδομένα διαμόρφωσης και δημιουργεί μια σύνδεση με τον διακομιστή εντολών και ελέγχου (C2).

Στην τρίτη φάση, ένα άλλο DLL (上线模块.dll) ανακτά επιπλέον κωδικοποιημένα δεδομένα από τον διακομιστή C2, τα αποθηκεύει στο μητρώο στο “HKEY_CURRENT_USER\\Console\\0” και ενημερώνει τις διευθύνσεις C2.

Ενότητες κακόβουλου λογισμικού προστέθηκαν στο Μητρώο
Ενότητες κακόβουλου λογισμικού προστέθηκαν στο Μητρώο
Πηγή: Fortinet

Στο τελευταίο στάδιο της αλυσίδας επίθεσης, φορτώνεται η λειτουργική μονάδα σύνδεσης (登录模块.dll), η οποία εκτελεί τις κύριες κακόβουλες ενέργειες:

  • Συλλέγει πληροφορίες συστήματος και περιβάλλοντος (π.χ. διεύθυνση IP, λεπτομέρειες λειτουργικού συστήματος, CPU).
  • Ελέγχει για λογισμικό προστασίας από ιούς και παρακολούθησης που εκτελείται στον κεντρικό υπολογιστή.
  • Συγκεντρώνει δεδομένα για συγκεκριμένες επεκτάσεις πορτοφολιού κρυπτονομισμάτων που χρησιμοποιούνται από το θύμα.
  • Διατηρεί μια μόνιμη σύνδεση backdoor με τον διακομιστή C2, επιτρέποντας στον εισβολέα να εκδίδει εντολές και να ανακτά πρόσθετα δεδομένα.
  • Διεγείρει δεδομένα μετά τη λήψη στιγμιότυπων οθόνης, την παρακολούθηση για αλλαγές στο πρόχειρο και την κλοπή εγγράφων.
Ολοκληρώστε την αλυσίδα επίθεσης Winos4.0
Ολοκληρώστε την αλυσίδα επίθεσης Winos4.0
Πηγή: Fortinet

Το Winos4.0 ελέγχει για μια ποικιλία εργαλείων ασφαλείας στο σύστημα, συμπεριλαμβανομένων των Kaspersky, Avast, Avira, Symantec, , Dr.Web, Malwarebytes, McAfee, AhnLab, ESET, Panda Security και του πλέον καταργημένου Microsoft Security Essentials.

Εντοπίζοντας αυτές τις διεργασίες, το κακόβουλο λογισμικό καθορίζει εάν εκτελείται σε περιβάλλον παρακολούθησης και προσαρμόζει τη συμπεριφορά του ανάλογα ή σταματά την εκτέλεσή του.

Οι χάκερ συνέχισαν να χρησιμοποιούν το πλαίσιο Winos4.0 εδώ και αρκετούς μήνες και η εμφάνιση νέων καμπανιών αποτελεί ένδειξη ότι ο ρόλος του σε κακόβουλες λειτουργίες φαίνεται να έχει παγιωθεί.

Η Fortinet περιγράφει το πλαίσιο ως ένα ισχυρό πλαίσιο που μπορεί να χρησιμοποιηθεί για τον έλεγχο παραβιασμένων συστημάτων, με λειτουργικότητα παρόμοια με το Cobalt Strike και το Sliver. Οι δείκτες συμβιβασμού (IoC) είναι διαθέσιμοι στις αναφορές από Fortinet και Trend Micro.



VIA: bleepingcomputer.com

Dimitris Marizas
Dimitris Marizashttps://www.techfreak.gr
Αφοσιωμένος λάτρης κινητών Samsung, ο Δημήτρης έχει εξελίξει μια ιδιαίτερη σχέση με τα προϊόντα της εταιρίας, εκτιμώντας τον σχεδιασμό, την απόδοση και την καινοτομία που προσφέρουν. Γράφοντας και διαβάζοντας τεχνολογικά νέα από όλο τον κόσμο.
RELATED ARTICLES
- Advertisment -

Most Popular

Lastest Articles

- Advertisment -