back to top

Winos4.0 sfrutta App di Gaming per controllare Windows

Alcuni cybercriminali starebbero sfruttando applicazioni legate ai videogiochi per infettare sistemi Windows con un framework dannoso chiamato Winos4.0. Esso consente agli attaccanti di ottenere il pieno controllo dei dispositivi compromessi.

Cosa è Winos4.0

Secondo un rapporto di Fortinet, Winos4.0 sembra essere una versione ricostruita di Gh0strat e si compone di diversi moduli, ciascuno con funzioni specifiche. La società di sicurezza ha identificato vari campioni di malware nascosti in strumenti di installazione di giochi, acceleratori di prestazioni e utility di ottimizzazione. Winos4.0 condivide delle caratteristiche con strumenti come Cobalt Strike e Sliver, tool legittimi per il red-teaming (la conduzione di attacchi simulati) spesso utilizzati anche da criminali informatici per diffondere ransomware, muoversi abusivamente nelle reti e condurre operazioni di cyberspionaggio.

Questo malware è stato impiegato in diverse campagne malevole, incluso un attacco condotto dal gruppo Silver Fox, sospettato di avere legami con il governo cinese. L’attacco avrebbe avuto inizio tramite un’esca legata al gaming. Una volta che la vittima esegue l’applicazione, viene scaricato un falso file BMP da un server remoto, dando il via al processo di infezione.

Come funziona l’attacco

Il primo stadio dell’attacco prevede l’uso di un file DLL chiamato “学籍系统” (“sistema di registrazione degli studenti”). Ciò suggerisce che il settore educativo possa essere uno dei principali obiettivi. Questo file prepara l’ambiente di esecuzione, inietta il codice malevolo e stabilisce la persistenza sul sistema compromesso. Nel secondo stadio, il codice shell carica le API necessarie e stabilisce la comunicazione con il server di comando e controllo (C2).

Successivamente, un altro file DLL scarica dati codificati dal server C2 e li salva nel registro di sistema. Nel quarto stadio, viene eseguito il payload principale, che raccoglie informazioni sul dispositivo infetto, come indirizzo IP, nome del terminale, sistema operativo, CPU e altre informazioni sensibili.

Il modulo principale crea infine una backdoor persistente verso il server C2, permettendo all’attaccante di mantenere una presenza stabile e duratura sul dispositivo compromesso. Fortinet consiglia quindi di scaricare software esclusivamente da fonti affidabili per evitare il rischio di infezione.

Pubblicità
Claudio Garau
Claudio Garau
Web developer, programmatore, Database Administrator, Linux Admin, docente e copywriter specializzato in contenuti sulle tecnologie orientate a Web, mobile, Cybersecurity e Digital Marketing per sviluppatori, PA e imprese.

Leggi anche...

Il malware invisibile che colpisce i videogiocatori

Un recente studio di Check Point Research ha rivelato...

Windows 365 Link: un mini-pc per il Cloud con OS bloccato

Microsoft ha presentato Windows 365 Link, un dispositivo compatto...

OpenAI rilascia ChatGPT per Windows

OpenAI ha annunciato il rilascio dell'applicazione ChatGPT per Windows,...

Windows 11 24H2: una cache incancellabile da 8.63 GB

Dopo l'installazione del package Windows 11 24H2 è stato...

FakeUpdate dei browser per installare il malware WarmCookie

Un nuovo attacco informatico basato sulla tecnica del FakeUpdate...

WordPad lascia Windows 11. Forse per sempre

Microsoft ha ufficialmente rimosso WordPad con l'aggiornamento Windows 11...
Pubblicità