back to top

Winos4.0 sfrutta App di Gaming per controllare Windows

Alcuni cybercriminali starebbero sfruttando applicazioni legate ai videogiochi per infettare sistemi Windows con un framework dannoso chiamato Winos4.0. Esso consente agli attaccanti di ottenere il pieno controllo dei dispositivi compromessi.

Cosa รจ Winos4.0

Secondo un rapporto di Fortinet, Winos4.0 sembra essere una versione ricostruita di Gh0strat e si compone di diversi moduli, ciascuno con funzioni specifiche. La societร  di sicurezza ha identificato vari campioni di malware nascosti in strumenti di installazione di giochi, acceleratori di prestazioni e utility di ottimizzazione. Winos4.0 condivide delle caratteristiche con strumenti come Cobalt Strike e Sliver, tool legittimi per il red-teaming (la conduzione di attacchi simulati) spesso utilizzati anche da criminali informatici per diffondere ransomware, muoversi abusivamente nelle reti e condurre operazioni di cyberspionaggio.

Pubblicitร 

Questo malware รจ stato impiegato in diverse campagne malevole, incluso un attacco condotto dal gruppo Silver Fox, sospettato di avere legami con il governo cinese. L’attacco avrebbe avuto inizio tramite un’esca legata al gaming. Una volta che la vittima esegue l’applicazione, viene scaricato un falso file BMP da un server remoto, dando il via al processo di infezione.

Come funziona l’attacco

Il primo stadio dell’attacco prevede l’uso di un file DLL chiamato “ๅญฆ็ฑ็ณป็ปŸ” (“sistema di registrazione degli studenti”). Ciรฒ suggerisce che il settore educativo possa essere uno dei principali obiettivi. Questo file prepara l’ambiente di esecuzione, inietta il codice malevolo e stabilisce la persistenza sul sistema compromesso. Nel secondo stadio, il codice shell carica le API necessarie e stabilisce la comunicazione con il server di comando e controllo (C2).

Successivamente, un altro file DLL scarica dati codificati dal server C2 e li salva nel registro di sistema. Nel quarto stadio, viene eseguito il payload principale, che raccoglie informazioni sul dispositivo infetto, come indirizzo IP, nome del terminale, sistema operativo, CPU e altre informazioni sensibili.

Il modulo principale crea infine una backdoor persistente verso il server C2, permettendo all’attaccante di mantenere una presenza stabile e duratura sul dispositivo compromesso. Fortinet consiglia quindi di scaricare software esclusivamente da fonti affidabili per evitare il rischio di infezione.

Iscriviti a Google News Per restare sempre aggiornato seguici su Google News! Seguici
Pubblicitร 
Claudio Garau
Claudio Garau
Web developer, programmatore, Database Administrator, Linux Admin, docente e copywriter specializzato in contenuti sulle tecnologie orientate a Web, mobile, Cybersecurity e Digital Marketing per sviluppatori, PA e imprese.

Leggi anche...

Windows: Microsoft pubblica uno script di ripristino della cartella “inetpub”

Dopo gli aggiornamenti del Patch Tuesday di aprile 2025...

Windows: con “Hey, Copilot!” basta la voce per interagire con l’AI

Microsoft ha iniziato a distribuire un aggiornamento dell'applicazione di...

Google porta Gemini su Chrome in Windows

Google ha confermato che l'intelligenza artificiale di Gemini arriverร ...

Windows 11: arriva una nuova generazione di esperienze AI

Microsoft ha presentato diverse nuove funzionalitร  per Windows 11,...

WhatsApp: risolta una grave vulnerabilitร  nell’app per Windows

Gli sviluppatori di Meta hanno corretto una pericolosa vulnerabilitร ...

Windows 11 e il mistero della cartella “inetpub”

Con l'aggiornamento cumulativo rilasciato l'8 aprile 2025, codice KB5055523,...
Pubblicitร