Cybersicherheitsexperten haben eine neue Bedrohung identifiziert, die es auf Windows-Spieler abgesehen hat: das bösartige Winos4.0-Framework, das sich als Spieleinstallations- und -optimierungstools tarnt. Winos4.0 wurde erstmals von den FortiGuard Labs von Fortinet entdeckt und hat sich schnell zu einer hochentwickelten Malware-Plattform mit umfassenden Kontrollfunktionen für infizierte Systeme entwickelt. Im Folgenden untersuchen wir, wie Winos4.0 funktioniert, welche Auswirkungen es auf Benutzer hat und welche Sektoren gefährdet sind.
Was ist Winos4.0 und wie funktioniert es?
Winos4.0 ist ein Malware-Framework, das sich in scheinbar harmlose Anwendungen im Zusammenhang mit Spielen einbettet, wie etwa Geschwindigkeitsverstärker und Installationstools. Diese Malware nutzt mehrere Stufen, um einzudringen, eine Persistenz aufzubauen und es Angreifern zu ermöglichen, kompromittierte Systeme aus der Ferne zu steuern. Laut Fortinetbeginnt die erste Phase der Infektion, wenn ein Benutzer unwissentlich eine infizierte Spieleanwendung herunterlädt. Nach der Installation leitet Winos4.0 einen mehrstufigen Infektionsprozess ein:
- Laden Sie schädliche Dateien herunter und führen Sie sie aus: Die Schadanwendung ruft eine getarnte .bmp-Datei von einem externen Server ab. Die Datei extrahiert eine Dynamic Link Library (DLL)-Datei, die es der Malware ermöglicht, sich in das System zu integrieren.
- Registry-Änderungen: Die Malware verwendet die DLL-Datei, um eine dauerhafte Umgebung einzurichten, indem sie Registrierungsschlüssel erstellt. Dadurch wird sichergestellt, dass Winos4.0 auch nach einem Systemneustart aktiv bleibt.
- Shellcode-Injektion und API-Laden: In den folgenden Schritten injiziert die Malware Shellcode, um Anwendungsprogrammierschnittstellen (APIs) zu laden, Konfigurationsdaten abzurufen und eine Command-and-Control-Verbindung (C2) herzustellen.
- Erweiterte C2-Kommunikation: Winos4.0 kommuniziert häufig mit C2-Servern, sodass Fernbediener Befehle senden und zusätzliche Module zur weiteren Nutzung herunterladen können.
Fortinet betont, dass „Winos4.0 ein leistungsstarkes Framework ist … das mehrere Funktionen unterstützen und kompromittierte Systeme einfach kontrollieren kann“, und fordert Benutzer dringend auf, das Herunterladen nicht verifizierter Software zu vermeiden.
Die bösartigen Fähigkeiten von Winos4.0
Sobald Winos4.0 vollständig in das System eines Benutzers eingebettet ist, kann es eine Vielzahl schädlicher Aktionen ausführen, die die Privatsphäre und Datensicherheit des Benutzers gefährden. Zu den Hauptfunktionen von Winos4.0 gehören:
- Systemüberwachung: Die Malware sammelt Systeminformationen wie IP-Adressen, Betriebssystemdetails und CPU-Spezifikationen.
- Bildschirm- und Zwischenablageerfassung: Winos4.0 kann Screenshots erstellen und die Zwischenablage überwachen, wodurch möglicherweise vertrauliche Informationen erfasst werden, darunter Passwörter und Kryptowährungs-Wallet-Adressen.
- Überwachung und Datenexfiltration: Die Malware nutzt ihre Verbindung zu C2-Servern, um Daten aus dem infizierten System zu exfiltrieren, sodass Angreifer Dokumente sammeln, Bildschirmaktivitäten abfangen und den Inhalt der Zwischenablage überwachen können.
- Anti-Erkennungsmechanismen: Winos4.0 prüft, ob Antivirensoftware von Anbietern wie Kaspersky, Bitdefender und Malwarebytes vorhanden ist. Wenn es solche Software erkennt, passt es sein Verhalten an, um einer Erkennung zu entgehen, oder stoppt die Ausführung ganz.
Vorsicht Octo2-Malware gezielte Angriffe auf europäische Banken, getarnt als beliebte Apps
Die Forschung von Fortinet weist auch darauf hin, dass Winos4.0 speziell nach Krypto-Wallet-Aktivitäten auf infizierten Systemen sucht, was die finanziellen Beweggründe hinter dem Design der Malware hervorhebt.
Winos4.0 kann auch dazu verwendet werden, Bildungseinrichtungen zu infiltrieren. FortiGuard Labs hat Hinweise im Code der Malware festgestellt, die auf ein mögliches Angriffsziel auf Systeme im Bildungsbereich hindeuten. Beispielsweise wurde in der Struktur von Winos4.0 eine Datei mit der Bezeichnung „Campus Administration“ gefunden, die auf einen möglichen Versuch hindeutet, auf Verwaltungssysteme in Schulen und Universitäten zuzugreifen.
Eine Geschichte der Ausrichtung auf bestimmte Regionen
Berichten der Cybersicherheitsunternehmen Trend Micro und Fortinet zufolge wird Winos4.0 hauptsächlich in Regionen verbreitet, in denen Benutzer möglicherweise eher modifizierte Softwareversionen herunterladen, beispielsweise in China. Kampagnen wie Silver Fox und Void Arachne haben Winos4.0 genutzt, um chinesischsprachige Benutzer auszunutzen und dabei soziale Medien, Suchmaschinenoptimierungstaktiken und Messaging-Apps wie Telegram zur Verbreitung der Malware genutzt.
Diese Kampagnen spiegeln einen zunehmenden Trend wider, bei dem Hacker Strategien zur Malware-Verbreitung basierend auf geografischen und kulturellen Faktoren anpassen und Opfer mit Softwareversionen anlocken, die auf bestimmte Regionen zugeschnitten sind.
Experten weisen darauf hin, dass Winos4.0 Ähnlichkeiten mit anderen bekannten Malware-Frameworks wie Cobalt Strike und Sliver aufweist. Wie diese Frameworks ermöglicht Winos4.0 Angreifern die Fernsteuerung von Systemen und die Bereitstellung verschiedener Funktionen, die Datendiebstahl, Überwachung und Ausnutzung erleichtern.
Der modulare Charakter von Winos4.0 ermöglicht eine einfache Aktualisierung und Änderung, was es zu einem vielseitigen Werkzeug für Cyberkriminelle macht. Seine Ähnlichkeit mit Cobalt Strike und Sliver deutet darauf hin, dass Winos4.0 möglicherweise als langfristige Plattform für anhaltende Cyberangriffe über verschiedene Benutzergruppen hinweg dienen könnte.
Indikatoren für Kompromisse (IoCs)
Fortinet hat eine Liste von Indicators of Compromise (IoCs) im Zusammenhang mit Winos4.0 veröffentlicht, die bestimmte Dateien und Registrierungsschlüssel umfassen. Benutzer können diese IoCs heranziehen, um nach Anzeichen einer Infektion zu suchen. Zu den bemerkenswerten Indikatoren gehören:
- DLL-Dateien wie you.dll und Module mit chinesischen Dateinamen wie „上线模块.dll“ (Anmeldemodul).
- Registrierungsänderungen in Pfaden wie „HKEY_CURRENT_USER\Console\0“, in denen verschlüsselte Daten gespeichert und C2-Adressen aktualisiert werden.
Diese IoCs sind für Organisationen und Einzelpersonen von entscheidender Bedeutung, um Winos4.0-Infektionen proaktiv zu erkennen und darauf zu reagieren.
Aktuelle Schutzmaßnahmen und Empfehlungen
Die Antivirenlösungen von Fortinet verfügen ab sofort über integrierte Schutzmechanismen zur Erkennung und Blockierung von WinOS4.0. Obwohl das Unternehmen noch keine detaillierte Anleitung zum Entfernen veröffentlicht hat, fordert Fortinet Benutzer dazu auf, heruntergeladene Software genau zu überwachen.
Experten empfehlen folgende Vorsichtsmaßnahmen, um das Infektionsrisiko zu minimieren:
- Laden Sie nur vertrauenswürdige Software herunter: Fortinet empfiehlt Benutzern, Anwendungen ausschließlich von seriösen Quellen herunterzuladen und vorsichtig mit Tools zur Spieloptimierung zu sein, die möglicherweise auf inoffiziellen Websites angezeigt werden.
- Aktualisieren Sie die Sicherheitssoftware regelmäßig: Die Aktualisierung der Antivirensoftware kann bei der Erkennung neu auftretender Malware-Bedrohungen, einschließlich WinOS4.0, hilfreich sein.
- Überwachen Sie den Netzwerkverkehr: Ungewöhnliche Netzwerkaktivitäten oder Verbindungen zu unbekannten Servern können auf das Vorhandensein von Malware wie Winos4.0 hinweisen.
Hervorgehobener Bildnachweis: Kerem Gülen/Midjourney
