Peneliti keamanan siber memperingatkan bahwa kerangka perintah dan kontrol (C&C) menyebabkan hal ini Wino sedang didistribusikan dalam aplikasi yang berhubungan dengan game seperti alat instalasi, penambah kecepatan, dan utilitas pengoptimalan.
“Winos 4.0 adalah kerangka kerja jahat canggih yang menawarkan fungsionalitas komprehensif, arsitektur stabil, dan kontrol efisien atas berbagai titik akhir online untuk melakukan tindakan lebih lanjut,” kata Fortinet FortiGuard Labs dalam laporan yang dibagikan kepada The Hacker News. “Dibangun kembali dari Gh0st RAT, ini mencakup beberapa komponen modular, masing-masing menangani fungsi berbeda.”
Kampanye yang mendistribusikan Winos 4.0 didokumentasikan pada bulan Juni oleh Trend Micro dan Tim KnownSec 404. Perusahaan keamanan siber melacak cluster aktivitas dengan nama Void Arachne dan Silver Fox.
Serangan telah diamati menyasar pengguna berbahasa Mandarin, memanfaatkan taktik Black Hat Search Engine Optimization (SEO), media sosial, dan platform pengiriman pesan seperti Telegram untuk mendistribusikan malware.
Analisis terbaru Fortinet menunjukkan bahwa pengguna yang akhirnya menjalankan aplikasi berbahaya terkait game memicu proses infeksi multi-tahap yang dimulai dengan mengambil file BMP palsu dari server jarak jauh (“ad59t82g[.]com”) yang kemudian diterjemahkan ke dalam perpustakaan tautan dinamis (DLL).
File DLL menangani pengaturan lingkungan eksekusi dengan mengunduh tiga file dari server yang sama: t3d.tmp, t4d.tmp, dan t5d.tmp, dua file pertama kemudian dibongkar untuk mendapatkan kumpulan muatan berikutnya yang terdiri dari file yang dapat dieksekusi. (“u72kOdQ.exe”) dan tiga file DLL, termasuk “libcef.dll.”
“DLL tersebut diberi nama ‘学籍系统’, yang berarti ‘Sistem Pendaftaran Siswa’, yang menunjukkan bahwa pelaku ancaman mungkin menargetkan organisasi pendidikan,” kata Fortinet.
Pada langkah berikutnya, biner digunakan untuk memuat “libcef.dll”, yang kemudian mengekstrak dan mengeksekusi kode shell tahap kedua dari t5d.tmp. Malware melanjutkan untuk menjalin kontak dengan server perintah-dan-kontrol (C2) (“202.79.173[.]4” menggunakan protokol TCP dan mengambil DLL lain (“上线模块.dll”).
DLL tahap ketiga, bagian dari Winos 4.0, mengunduh data yang disandikan dari server C2, modul DLL baru (“登录模块.dll”) yang bertanggung jawab untuk mengumpulkan informasi sistem, menyalin konten clipboard, mengumpulkan data dari ekstensi dompet cryptocurrency seperti OKX Wallet dan MetaMask, serta memfasilitasi fungsionalitas backdoor dengan menunggu perintah selanjutnya dari server.
Winos 4.0 juga memungkinkan pengiriman plugin tambahan dari server C2 yang memungkinkannya mengambil tangkapan layar dan mengunggah dokumen sensitif dari sistem yang disusupi.
“Winos4.0 adalah kerangka kerja yang kuat, mirip dengan Cobalt Strike dan Sliver, yang dapat mendukung banyak fungsi dan dengan mudah mengontrol sistem yang disusupi,” kata Fortinet. “Kampanye ancaman memanfaatkan aplikasi terkait game untuk memikat korban agar mengunduh dan mengeksekusi malware tanpa hati-hati dan berhasil menerapkan kontrol mendalam terhadap sistem.”