一种新的恶意软件 Winos4.0 被积极用于网络攻击活动。FortiGuard实验室发现，这种先进的恶意框架是从臭名昭著的 Gh0strat 演变而来的，配备了模块化组件，可在受感染的设备上进行一系列恶意活动。

这些攻击已在游戏相关应用程序中发现，例如安装工具和优化实用程序，它们充当了恶意软件的传递机制。

Winos4.0 为威胁行为者提供了全面的功能、稳定性和对目标系统的控制，使他们能够远程执行复杂的命令。FortiGuard Labs 报告称，该框架已部署在“Silver Fox”等活动中，表明其具有广泛渗透和利用系统的能力。

该恶意软件活动利用游戏相关软件（包括优化和安装工具）来接触毫无戒心的用户。一旦受害者运行受感染的应用程序，恶意软件就会从远程服务器检索伪装的 BMP 文件，启动一系列解码和执行操作，加载恶意组件。

攻击链

第一阶段：初始访问和 DLL 执行：安装后，恶意应用程序会下载并解码多个文件。这些文件存储在 Program Files 目录中一个随机命名的目录中，并使用特定密码和 XOR 密钥进行解码。这些步骤最终会提取并执行主要恶意文件“libcef.dll”，该文件用于将 shellcode 注入系统。值得注意的是，“学生注册系统”等文件名表明其可能针对教育部门。

第二阶段：配置和 C2 通信： Winos4.0 与命令和控制 (C2) 服务器建立通信，接收指令并下载模块以继续攻击。恶意软件将“x32”发送到 C2 服务器作为签入机制，接收包含其他攻击模块的加密数据。

第三阶段：持久性和 C2 服务器更新：恶意软件通过创建计划任务和使用编码数据更新注册表项来建立持久性。它还监视并将主 C2 服务器地址存储在注册表中，以确保继续访问受感染设备上的控制功能。

最后阶段：信息收集和监控： Winos4.0 包含广泛的数据收集功能，包括剪贴板监控和系统扫描。该恶意软件识别防病毒应用程序和监控工具，收集系统详细信息并检查加密钱包扩展。找到特定软件或文件后，它会启动数据收集并将敏感信息上传到 C2 服务器。

保护建议

Winos4.0 框架与 Cobalt Strike 和 Sliver 等已知攻击工具有相似之处，凸显了其作为未经授权的系统控制和数据窃取工具的潜力。

通过使用与游戏相关的应用程序来伪装其部署，Winos4.0 可以悄无声息地渗透到系统中并获得持久控制，研究人员表示，这对教育行业的用户来说尤其危险。

为了防范 Winos4.0，建议用户遵循以下最佳做法：

仅从经过验证的来源下载：避免从非官方或不受信任的平台下载应用程序。

使用信誉良好的防病毒软件：启用实时保护并定期更新防病毒工具以检测恶意框架。

监控系统活动：跟踪系统上的意外变化或可疑活动，例如新的计划任务或注册表中的不熟悉的文件。

Winos4.0 是一个专为深度系统渗透而设计的复杂框架。它使用多层加密和 C2 通信，这说明了在下载新应用程序时保持警惕的重要性，并强调了对强大的端点安全解决方案的需求。

更多内容搜索网络研究观