Cybersecurity-experts hebben een nieuwe bedreiging geïdentificeerd die zich richt op Windows-gamers: het kwaadaardige Winos4.0-framework, dat zichzelf vermomt als tools voor het installeren en optimaliseren van games. Winos4.0 werd voor het eerst ontdekt door Fortinet’s FortiGuard Labs en heeft zich snel ontwikkeld tot een geavanceerd malwareplatform met uitgebreide controlemogelijkheden over geïnfecteerde systemen. Hieronder onderzoeken we hoe Winos4.0 werkt, de impact ervan op gebruikers en de sectoren die risico lopen.
Wat is Winos4.0 en hoe werkt het?
Winos4.0 is een malwareframework dat zichzelf insluit in ogenschijnlijk goedaardige applicaties die verband houden met gaming, zoals snelheidsboosters en installatietools. Deze malware gebruikt meerdere fasen om binnen te dringen, persistentie te bewerkstelligen en aanvallers in staat te stellen gecompromitteerde systemen op afstand te controleren. Volgens Fortinetbegint de eerste fase van de infectie wanneer een gebruiker onbewust een besmette gameapplicatie downloadt. Eenmaal geïnstalleerd, initieert Winos4.0 een meerstaps infectieproces:
- Kwaadaardige bestanden downloaden en uitvoeren: De kwaadaardige toepassing haalt een vermomd .bmp-bestand op van een externe server. Het bestand extraheert een DLL-bestand (Dynamic Link Library) waarmee de malware in het systeem kan worden geïntegreerd.
- Registerwijzigingen: De malware gebruikt het DLL-bestand om een permanente omgeving op te zetten door registersleutels te maken. Dit zorgt ervoor dat Winos4.0 actief blijft, zelfs nadat het systeem opnieuw is opgestart.
- Shellcode-injectie en API-laden: In de volgende stappen injecteert de malware shellcode om application programming interfaces (API’s) te laden, configuratiegegevens op te halen en een command-and-control (C2)-verbinding tot stand te brengen.
- Geavanceerde C2-communicatie: Winos4.0 communiceert regelmatig met C2-servers, waardoor externe operators opdrachten kunnen verzenden en extra modules kunnen downloaden voor verdere exploitatie.
Fortinet benadrukt dat “Winos4.0 een krachtig raamwerk is… dat meerdere functies kan ondersteunen en gemakkelijk gecompromitteerde systemen kan controleren”, en spoort gebruikers aan om het downloaden van niet-geverifieerde software te vermijden.
De kwaadaardige mogelijkheden van Winos4.0
Eenmaal volledig ingebed in het systeem van een gebruiker, kan Winos4.0 een verscheidenheid aan schadelijke acties uitvoeren die de privacy en gegevensbeveiliging van gebruikers in gevaar brengen. De belangrijkste functies van Winos4.0 zijn onder meer:
- Systeembewaking: De malware verzamelt systeeminformatie zoals IP-adressen, details van het besturingssysteem en CPU-specificaties.
- Scherm- en klembordopname: Winos4.0 kan schermafbeeldingen maken en het klembord controleren, waarbij mogelijk gevoelige informatie wordt vastgelegd, waaronder wachtwoorden en portemonnee-adressen voor cryptocurrency.
- Surveillance en data-exfiltratie: De malware gebruikt zijn verbinding met C2-servers om gegevens van het geïnfecteerde systeem te exfiltreren, waardoor aanvallers documenten kunnen verzamelen, schermactiviteit kunnen onderscheppen en de inhoud van het klembord kunnen controleren.
- Anti-detectiemechanismen: Winos4.0 controleert op de aanwezigheid van antivirussoftware van leveranciers als Kaspersky, Bitdefender en Malwarebytes. Als het dergelijke software detecteert, past het zijn gedrag aan om detectie te voorkomen of stopt het de uitvoering helemaal.
Pas op voor Octo2-malware gericht op Europese banken, vermomd als populaire apps
Het onderzoek van Fortinet wijst er ook op dat Winos4.0 specifiek zoekt naar crypto-wallet-activiteit op geïnfecteerde systemen, wat de financiële motieven achter het ontwerp van de malware benadrukt.
Winos4.0 kan ook worden gebruikt om onderwijsinstellingen te infiltreren. FortiGuard Labs merkte verwijzingen op in de code van de malware die wijzen op mogelijke doelwitten voor systemen in de onderwijssector. Er werd bijvoorbeeld een bestand met de naam “Campus Administration” gevonden binnen de structuur van Winos 4.0, wat wijst op een mogelijke poging om toegang te krijgen tot administratieve systemen op scholen en universiteiten.
Een geschiedenis van targeting op specifieke regio’s
Volgens rapporten van cyberbeveiligingsbedrijven Trend Micro en Fortinet wordt Winos4.0 voornamelijk gedistribueerd in regio’s waar gebruikers waarschijnlijk gewijzigde softwareversies downloaden, zoals China. Campagnes als Silver Fox en Void Arachne hebben Winos 4.0 gebruikt om Chineessprekende gebruikers te exploiteren, door gebruik te maken van sociale media, tactieken voor zoekmachineoptimalisatie en berichtenapps zoals Telegram om de malware te verspreiden.
Deze campagnes weerspiegelen een toenemende trend waarbij hackers de distributiestrategieën van malware aanpassen op basis van geografische en culturele factoren, en slachtoffers lokken met softwareversies die zijn afgestemd op specifieke regio’s.
Experts merken op dat Winos4.0 overeenkomsten vertoont met andere bekende malwareframeworks, zoals Cobalt Strike en Sliver. Net als deze raamwerken stelt Winos 4.0 aanvallers in staat systemen op afstand te besturen en verschillende functies in te zetten die gegevensdiefstal, monitoring en exploitatie vergemakkelijken.
Het modulaire karakter van Winos4.0 betekent dat het eenvoudig kan worden bijgewerkt en aangepast, waardoor het een veelzijdig hulpmiddel is voor cybercriminelen. De gelijkenis met Cobalt Strike en Sliver impliceert dat Winos4.0 potentieel zou kunnen dienen als een langetermijnplatform voor aanhoudende cyberaanvallen op verschillende gebruikersgroepen.
Indicatoren van compromissen (IoC’s)
Fortinet heeft een lijst gepubliceerd met Indicators of Compromise (IoC’s) die verband houden met Winos 4.0, waaronder specifieke bestanden en registersleutels. Gebruikers kunnen naar deze IoC’s verwijzen om te controleren op tekenen van infectie. Opmerkelijke indicatoren zijn onder meer:
- DLL-bestanden zoals you.dll en modules met Chinese bestandsnamen zoals “上线模块.dll” (inlogmodule).
- Registerwijzigingen in paden zoals “HKEY_CURRENT_USER\Console\0” waar gecodeerde gegevens worden opgeslagen en C2-adressen worden bijgewerkt.
Deze IoC’s zijn van vitaal belang voor organisaties en individuen om proactief Winos4.0-infecties te detecteren en erop te reageren.
Huidige beveiligingen en aanbevelingen
Vanaf nu hebben de antivirusoplossingen van Fortinet geïntegreerde beveiligingsmechanismen om Winos4.0 te detecteren en te blokkeren. Hoewel het bedrijf nog geen gedetailleerde verwijderingsgids heeft uitgebracht, moedigt Fortinet gebruikers aan gedownloade software nauwlettend in de gaten te houden.
Experts raden de volgende voorzorgsmaatregelen aan om het risico op infectie te minimaliseren:
- Download alleen vertrouwde software: Fortinet adviseert gebruikers om applicaties uitsluitend van gerenommeerde bronnen te downloaden en voorzichtig te zijn met tools voor het optimaliseren van games die op niet-officiële websites kunnen verschijnen.
- Update de beveiligingssoftware regelmatig: Het updaten van antivirussoftware kan helpen bij het detecteren van opkomende malwarebedreigingen, waaronder Winos4.0.
- Netwerkverkeer monitoren: ongebruikelijke netwerkactiviteit of verbindingen met onbekende servers kunnen duiden op de aanwezigheid van malware zoals Winos4.0.
Uitgelichte afbeeldingscredits: Kerem Gülen/Midjourney
