Un nouveau cadre logiciel malveillant, appelé « Winos4.0 », a été découvert intégré dans des applications liées aux jeux ciblant les utilisateurs de Windows.
Selon les chercheurs de FortiGuard Labs, ce cadre de logiciel malveillant est une variante sophistiquée dérivée de Gh0strat. Winos4.0 peut exécuter plusieurs actions à distance et offre aux attaquants un contrôle étendu sur les systèmes infectés.
Le logiciel malveillant se propage en distribuant des applications liées aux jeux, telles que des outils d'installation et des optimiseurs de performance, pour obtenir un accès initial aux appareils ciblés.
Une fois qu'un utilisateur installe l'une de ces applications, celle-ci télécharge un fichier BMP apparemment bénin depuis un serveur distant, qui extrait et active ensuite le fichier DLL de Winos4.0. La première étape du logiciel malveillant consiste à créer un environnement pour déployer des modules supplémentaires et à établir une persistance sur la machine infectée en créant des clés de registre ou des tâches planifiées.
Les Capacités Avancées de Winos4.0 et Menaces de Sécurité
Dans les étapes suivantes, le cadre décode des fichiers cachés pour injecter du shellcode et charger divers modules essentiels au contrôle des systèmes compromis. Parmi ses fonctions clés, on trouve la surveillance du presse-papiers, la collecte d'informations système et la vérification des logiciels antivirus, des extensions de portefeuilles de crypto-monnaies et d'autres applications de sécurité.
Ce cadre sophistiqué cible également les organisations éducatives, avec des descriptions de fichiers indiquant une possible focalisation sur des fonctions d’« Administration de Campus ».
Des analyses supplémentaires révèlent que Winos4.0 communique avec des serveurs de commande et de contrôle (C2) pour télécharger des modules cryptés. Il récupère les adresses des serveurs C2 à partir de clés de registre spécifiques, ce qui lui permet de se connecter et de maintenir sa connectivité.
Cette connexion permet au logiciel malveillant de recevoir des commandes et de télécharger des modules pour effectuer des actions telles que la gestion de documents, la capture d'écran et la surveillance de l'environnement, entre autres fonctions de surveillance.
« Winos4.0 est un cadre puissant, similaire à Cobalt Strike et Sliver, qui peut prendre en charge plusieurs fonctions et contrôler facilement les systèmes compromis », a averti Fortinet.
« La chaîne d'attaque complète implique de multiples données cryptées et de nombreuses communications C2 pour réaliser l'injection. Les utilisateurs doivent être conscients de la provenance des nouvelles applications et ne télécharger le logiciel que depuis des sources qualifiées. »
![[Image: gamers1800_RaymondAsiaPhotography_alamy....le=upscale]](https://eu-images.contentstack.com/v3/assets/blt6d90778a997de1cd/blt999a50cfab5b555e/672be3ec8c8d13678ecf5bf1/gamers1800_RaymondAsiaPhotography_alamy.jpg?width=1280&auto=webp&quality=95&format=jpg&disable=upscale)
Sources :
https://www.darkreading.com/threat-intel...ework-scam
https://www.infosecurity-magazine.com/ne...e-windows/
https://www.linkedin.com/posts/happygeek...3635-bcBI/
Selon les chercheurs de FortiGuard Labs, ce cadre de logiciel malveillant est une variante sophistiquée dérivée de Gh0strat. Winos4.0 peut exécuter plusieurs actions à distance et offre aux attaquants un contrôle étendu sur les systèmes infectés.
Le logiciel malveillant se propage en distribuant des applications liées aux jeux, telles que des outils d'installation et des optimiseurs de performance, pour obtenir un accès initial aux appareils ciblés.
Une fois qu'un utilisateur installe l'une de ces applications, celle-ci télécharge un fichier BMP apparemment bénin depuis un serveur distant, qui extrait et active ensuite le fichier DLL de Winos4.0. La première étape du logiciel malveillant consiste à créer un environnement pour déployer des modules supplémentaires et à établir une persistance sur la machine infectée en créant des clés de registre ou des tâches planifiées.
Les Capacités Avancées de Winos4.0 et Menaces de Sécurité
Dans les étapes suivantes, le cadre décode des fichiers cachés pour injecter du shellcode et charger divers modules essentiels au contrôle des systèmes compromis. Parmi ses fonctions clés, on trouve la surveillance du presse-papiers, la collecte d'informations système et la vérification des logiciels antivirus, des extensions de portefeuilles de crypto-monnaies et d'autres applications de sécurité.
Ce cadre sophistiqué cible également les organisations éducatives, avec des descriptions de fichiers indiquant une possible focalisation sur des fonctions d’« Administration de Campus ».
Des analyses supplémentaires révèlent que Winos4.0 communique avec des serveurs de commande et de contrôle (C2) pour télécharger des modules cryptés. Il récupère les adresses des serveurs C2 à partir de clés de registre spécifiques, ce qui lui permet de se connecter et de maintenir sa connectivité.
Cette connexion permet au logiciel malveillant de recevoir des commandes et de télécharger des modules pour effectuer des actions telles que la gestion de documents, la capture d'écran et la surveillance de l'environnement, entre autres fonctions de surveillance.
« Winos4.0 est un cadre puissant, similaire à Cobalt Strike et Sliver, qui peut prendre en charge plusieurs fonctions et contrôler facilement les systèmes compromis », a averti Fortinet.
« La chaîne d'attaque complète implique de multiples données cryptées et de nombreuses communications C2 pour réaliser l'injection. Les utilisateurs doivent être conscients de la provenance des nouvelles applications et ne télécharger le logiciel que depuis des sources qualifiées. »
Sources :
https://www.darkreading.com/threat-intel...ework-scam
https://www.infosecurity-magazine.com/ne...e-windows/
https://www.linkedin.com/posts/happygeek...3635-bcBI/
![[-]](https://www.tisi-fr.com/board/images/collapse.png)