VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đang cảnh báo rằng một nền tảng chỉ huy và kiểm soát (C&C) có tên Winos đang được phân phối trong các ứng dụng liên quan đến trò chơi như công cụ cài đặt, trình tăng tốc và tiện ích tối ưu hóa.

"Winos 4.0 là một khuôn khổ độc hại tiên tiến cung cấp chức năng toàn diện, kiến trúc ổn định và khả năng kiểm soát hiệu quả nhiều điểm cuối trực tuyến để thực hiện các hành động tiếp theo", Fortinet FortiGuard Labs cho biết trong một báo cáo chia sẻ với The Hacker News. "Được xây dựng lại từ Gh0st RAT, nó bao gồm một số thành phần mô-đun, mỗi thành phần xử lý các chức năng riêng biệt".


Các chiến dịch phân phối Winos 4.0 đã được Trend Micro và Nhóm KnownSec 404 ghi nhận vào tháng 6. Các công ty an ninh mạng đang theo dõi nhóm hoạt động dưới tên Void Arachne và Silver Fox.

Những cuộc tấn công này được phát hiện nhắm vào người dùng nói tiếng Trung Quốc, tận dụng các chiến thuật Tối ưu hóa công cụ tìm kiếm (SEO), phương tiện truyền thông xã hội và nền tảng nhắn tin như Telegram để phát tán phần mềm độc hại.

Phân tích mới nhất của Fortinet cho thấy người dùng chạy các ứng dụng độc hại liên quan đến trò chơi sẽ kích hoạt một quá trình lây nhiễm nhiều giai đoạn bắt đầu bằng việc truy xuất tệp BMP giả từ máy chủ từ xa ("ad59t82g[.]com") sau đó được giải mã thành thư viện liên kết động (DLL).

Tệp DLL đảm nhiệm việc thiết lập môi trường thực thi bằng cách tải xuống ba tệp từ cùng một máy chủ: t3d.tmp, t4d.tmp và t5d.tmp, trong đó hai tệp đầu tiên sau đó được giải nén để lấy bộ dữ liệu tiếp theo bao gồm tệp thực thi ("u72kOdQ.exe") và ba tệp DLL, bao gồm "libcef.dll".


Fortinet cho biết: "DLL có tên là '学籍系统', có nghĩa là 'Hệ thống đăng ký sinh viên', cho thấy kẻ tấn công có thể nhắm vào các tổ chức giáo dục".

Trong bước tiếp theo, nhị phân được sử dụng để tải "libcef.dll", sau đó trích xuất và thực thi shellcode giai đoạn thứ hai từ t5d.tmp. Phần mềm độc hại tiến hành thiết lập liên lạc với máy chủ chỉ huy và kiểm soát (C2) của nó ("202.79.173[.]4") bằng giao thức TCP và truy xuất một DLL khác ("上线模块.dll").

DLL giai đoạn thứ ba, một phần của Winos 4.0, tải xuống dữ liệu được mã hóa từ máy chủ C2, một mô-đun DLL mới ("登录模块.dll") có nhiệm vụ thu thập thông tin hệ thống, sao chép nội dung bảng tạm, thu thập dữ liệu từ tiện ích mở rộng ví tiền điện tử như OKX Wallet và MetaMask, đồng thời tạo điều kiện cho chức năng cửa sau bằng cách chờ các lệnh tiếp theo từ máy chủ.

Winos 4.0 cũng cho phép cung cấp các plugin bổ sung từ máy chủ C2 để chụp ảnh màn hình và tải lên các tài liệu nhạy cảm từ hệ thống bị xâm phạm.

"Winos 4.0 là một nền tảng mạnh mẽ, tương tự như Cobalt Strike và Sliver, có thể hỗ trợ nhiều chức năng và dễ dàng kiểm soát các hệ thống bị xâm phạm", Fortinet cho biết. "Các chiến dịch đe dọa tận dụng các ứng dụng liên quan đến trò chơi để dụ nạn nhân tải xuống và thực thi phần mềm độc hại mà không cần thận trọng và triển khai thành công quyền kiểm soát sâu vào hệ thống".