El kit de post-explotación Winos4.0 amenaza a los jugadores de Windows

Los expertos en ciberseguridad han identificado una nueva amenaza dirigida a los jugadores de Windows: el marco malicioso Winos4.0, que se disfraza de herramientas de optimización e instalación de juegos. Descubierto por primera vez por FortiGuard Labs de Fortinet, Winos4.0 ha evolucionado rápidamente hasta convertirse en una sofisticada plataforma de malware con amplias capacidades de control sobre los sistemas infectados. A continuación, exploramos cómo funciona Winos4.0, su impacto en los usuarios y los sectores en riesgo.

¿Qué es Winos4.0 y cómo funciona?

Winos4.0 es un marco de malware que se integra en aplicaciones aparentemente benignas relacionadas con los juegos, como aceleradores de velocidad y herramientas de instalación. Este malware utiliza múltiples etapas para penetrar, establecer persistencia y permitir a los atacantes controlar de forma remota los sistemas comprometidos. Según Fortinetla primera etapa de la infección comienza cuando un usuario, sin saberlo, descarga una aplicación de juegos contaminada. Una vez instalado, Winos4.0 inicia un proceso de infección de varios pasos:

1. Descargar y ejecutar archivos maliciosos: La aplicación maliciosa recupera un archivo .bmp disfrazado de un servidor externo. El archivo extrae un archivo de biblioteca de enlaces dinámicos (DLL) que permite que el malware se integre en el sistema.
2. Modificaciones registrales: El malware utiliza el archivo DLL para configurar un entorno persistente mediante la creación de claves de registro. Esto garantiza que Winos4.0 permanezca activo incluso después de que se reinicie el sistema.
3. Inyección de Shellcode y carga de API: En los siguientes pasos, el malware inyecta shellcode para cargar interfaces de programación de aplicaciones (API), recuperar datos de configuración y establecer una conexión de comando y control (C2).
4. Comunicación C2 avanzada: Winos4.0 se comunica frecuentemente con servidores C2, lo que permite a los operadores remotos enviar comandos y descargar módulos adicionales para una mayor explotación.

Fortinet enfatiza que «Winos4.0 es un marco poderoso… que puede soportar múltiples funciones y controlar fácilmente sistemas comprometidos», instando a los usuarios a evitar descargar software no verificado.

Las capacidades maliciosas de Winos4.0

Una vez completamente integrado en el sistema de un usuario, Winos4.0 puede realizar una variedad de acciones dañinas que ponen en peligro la privacidad del usuario y la seguridad de los datos. Las funciones clave de Winos4.0 incluyen:

• Monitoreo del sistema: El malware recopila información del sistema, como direcciones IP, detalles del sistema operativo y especificaciones de la CPU.
• Captura de pantalla y portapapeles: Winos4.0 puede tomar capturas de pantalla y monitorear el portapapeles, lo que potencialmente captura información confidencial, incluidas contraseñas y direcciones de billeteras de criptomonedas.
• Vigilancia y exfiltración de datos.: El malware utiliza su conexión a los servidores C2 para extraer datos del sistema infectado, lo que permite a los atacantes recopilar documentos, interceptar la actividad de la pantalla y monitorear el contenido del portapapeles.
• Mecanismos anti-detección: Winos4.0 comprueba la presencia de software antivirus de proveedores como Kaspersky, Bitdefender y Malwarebytes. Si detecta dicho software, ajusta su comportamiento para evitar la detección o detiene la ejecución por completo.

Cuidado con software malicioso Octo2 apuntando a bancos europeos, disfrazados de aplicaciones populares

La investigación de Fortinet también señala que Winos4.0 busca específicamente la actividad de criptomonederos en sistemas infectados, destacando las motivaciones financieras detrás del diseño del malware.

Winos4.0 también puede usarse para infiltrarse en instituciones educativas. FortiGuard Labs notó referencias en el código del malware que sugieren posibles ataques a sistemas del sector educativo. Por ejemplo, se encontró un archivo denominado «Administración del campus» dentro de la estructura de Winos4.0, lo que apunta a un posible intento de acceder a los sistemas administrativos en escuelas y universidades.

Una historia de apuntar a regiones específicas

Según informes de las empresas de ciberseguridad Trend Micro y Fortinet, Winos4.0 se distribuye principalmente en regiones donde es más probable que los usuarios descarguen versiones de software modificadas, como China. Campañas como Silver Fox y Void Arachne han utilizado Winos4.0 para explotar a los usuarios de habla china, aprovechando las redes sociales, tácticas de optimización de motores de búsqueda y aplicaciones de mensajería como Telegram para distribuir el malware.

Estas campañas reflejan una tendencia creciente en la que los piratas informáticos adaptan estrategias de distribución de malware en función de factores geográficos y culturales, atrayendo a las víctimas con versiones de software adaptadas a regiones específicas.

Los expertos señalan que Winos4.0 comparte similitudes con otros frameworks de malware conocidos, como Cobalt Strike y Sliver. Al igual que estos marcos, Winos4.0 permite a los atacantes controlar sistemas de forma remota e implementar diversas funciones que facilitan el robo, el monitoreo y la explotación de datos.

La naturaleza modular de Winos4.0 significa que puede actualizarse y modificarse fácilmente, lo que la convierte en una herramienta versátil para los ciberdelincuentes. Su parecido con Cobalt Strike y Sliver implica que Winos4.0 podría servir como una plataforma a largo plazo para ataques cibernéticos sostenidos entre diferentes grupos de usuarios.

Indicadores de compromiso (IoC)

Fortinet ha publicado una lista de indicadores de compromiso (IoC) asociados con Winos4.0, que incluyen archivos específicos y claves de registro. Los usuarios pueden consultar estos IoC para detectar signos de infección. Los indicadores notables incluyen:

• Archivos DLL como you.dll y módulos con nombres de archivos chinos como “上线模块.dll” (módulo de inicio de sesión).
• Modificaciones del registro en rutas como “HKEY_CURRENT_USER\Console\0” donde se almacenan los datos cifrados y se actualizan las direcciones C2.

Estos IoC son vitales para que las organizaciones y los individuos detecten y respondan a las infecciones de Winos4.0 de manera proactiva.

Protecciones y recomendaciones actuales

A partir de ahora, las soluciones antivirus de Fortinet cuentan con mecanismos de protección integrados para detectar y bloquear Winos4.0. Si bien la compañía aún no ha publicado una guía de eliminación detallada, Fortinet alienta a los usuarios a monitorear de cerca el software descargado.

Los expertos recomiendan las siguientes precauciones para minimizar el riesgo de infección:

• Descargue solo software confiable: Fortinet recomienda a los usuarios descargar aplicaciones exclusivamente de fuentes confiables y tener cuidado con las herramientas de optimización de juegos que pueden aparecer en sitios web no oficiales.
• Actualizar periódicamente el software de seguridad: La actualización del software antivirus puede ayudar a detectar amenazas de malware emergentes, incluido Winos4.0.
• Monitorear el tráfico de la red: La actividad de red inusual o las conexiones a servidores desconocidos pueden indicar la presencia de malware como Winos4.0.

Crédito de la imagen destacada: Kerem Gülen/A mitad del viaje