Winos4.0 Windows మెషీన్‌లకు హాని కలిగించడానికి మరియు నియంత్రించడానికి గేమింగ్ అప్లికేషన్‌లను దుర్వినియోగం చేస్తుంది

నేరస్థులు Winos4.0 అనే హానికరమైన సాఫ్ట్‌వేర్ ఫ్రేమ్‌వర్క్‌తో Windows సిస్టమ్‌లను ఇన్ఫెక్ట్ చేయడానికి గేమింగ్-సంబంధిత అప్లికేషన్‌లను ఉపయోగిస్తున్నారు, ఇది రాజీపడిన మెషీన్‌లపై దాడి చేసేవారికి పూర్తి నియంత్రణను ఇస్తుంది.

మాల్వేర్, దీని నుండి పునర్నిర్మించబడినట్లు కనిపిస్తోంది Gh0stratఫోర్టినెట్ ప్రకారం ఇది బహుళ భాగాలను కలిగి ఉంది, ప్రతి ఒక్కటి విభిన్న విధులను నిర్వహిస్తుంది.

గేమ్ ఇన్‌స్టాలేషన్ టూల్స్, స్పీడ్ బూస్టర్‌లు మరియు ఆప్టిమైజేషన్ యుటిలిటీలలో దాగి ఉన్న “బహుళ” నమూనాలను సెక్యూరిటీ స్టోర్ గుర్తించింది. ఫోర్టినెట్ దానిని పోలి ఉంటుంది కోబాల్ట్ సమ్మె మరియు స్లివర్ – చట్టబద్ధమైన రెడ్-టీమింగ్ టూల్స్ రెండూ కూడా ransomware మరియు ఇతర మాల్వేర్‌లను అమలు చేయడానికి క్రాక్డ్ వెర్షన్‌లను ఉపయోగించే నేరస్థులకు ఇష్టమైనవి, పార్శ్వ కదలికలు, సైబర్ గూఢచర్యం మరియు ఇతర దుర్మార్గపు చర్యలతో పాటు.

Winos4.0 అనేక దాడి ప్రచారాలలో ఉపయోగించబడింది, సహా సిల్వర్ ఫాక్స్అనుమానాస్పద సిబ్బంది చైనా ప్రభుత్వంతో సంబంధం కలిగి ఉన్నారని మాకు చెప్పబడింది.

“మొత్తం దాడి గొలుసులో చాలా గుప్తీకరించిన డేటా మరియు ఇంజెక్షన్ పూర్తి చేయడానికి చాలా C2 కమ్యూనికేషన్ ఉంటుంది,” ఫోర్టినెట్ హెచ్చరించారు. “ఏదైనా కొత్త అప్లికేషన్ యొక్క మూలం గురించి వినియోగదారులు తెలుసుకోవాలి మరియు అర్హత ఉన్న మూలాల నుండి మాత్రమే సాఫ్ట్‌వేర్‌ను డౌన్‌లోడ్ చేసుకోవాలి.”

గేమ్-సంబంధిత ఎరతో దాడి ప్రారంభమవుతుంది. బాధితుడు అప్లికేషన్‌ను అమలు చేసిన తర్వాత, అది “ad59t82g నుండి నకిలీ BMP ఫైల్‌ను డౌన్‌లోడ్ చేస్తుంది[.]com” ఇది సంక్రమణ ప్రక్రియను ప్రారంభిస్తుంది.

మొదటి దశ DLL ఫైల్, ఇది అమలు వాతావరణాన్ని కాన్ఫిగర్ చేస్తుంది, షెల్‌కోడ్‌ను ఇంజెక్ట్ చేస్తుంది మరియు నిలకడను ఏర్పరుస్తుంది. DLLని “学籍系统” అని పిలుస్తారు, ఇది “విద్యార్థి నమోదు వ్యవస్థ” అని సూచిస్తుంది, దాడి చేసే వ్యక్తి విద్యా రంగంలోని సంస్థలను లక్ష్యంగా చేసుకుని ఉండవచ్చని సూచిస్తుంది.

రెండవ దశలో, షెల్‌కోడ్ APIలను లోడ్ చేస్తుంది, కమాండ్ మరియు కంట్రోల్ (C2) చిరునామాను తిరిగి పొందుతుంది మరియు దాడి చేసేవారిచే నియంత్రించబడే సర్వర్‌తో కమ్యూనికేషన్‌ను ఏర్పాటు చేస్తుంది.

అప్పుడు, “上线模块” పేరుతో ఉన్న DLL ఫైల్ C2 సర్వర్ నుండి ఎన్‌కోడ్ చేసిన డేటాను డౌన్‌లోడ్ చేస్తుంది మరియు దానిని “HKEY_CURRENT_USER \\ Console\\0\\ d33f351a4aeea5e608853d1a566105” రిజిస్ట్రీలో సేవ్ చేస్తుంది.

చివరగా, నాల్గవ దశలో, DLL ఫైల్ “登录模块” సోకిన మెషీన్‌లో అన్ని హానికరమైన కార్యకలాపాలను చేసే ప్రాథమిక పేలోడ్‌ను కలిగి ఉంటుంది.

ఇది IP చిరునామా, కంప్యూటర్ పేరు, ఆపరేటింగ్ సిస్టమ్, CPU, డిస్క్, నెట్‌వర్క్ కార్డ్, డైరెక్టరీ పేరు మరియు సమయంతో సహా సోకిన హోస్ట్ గురించి సమాచారాన్ని సేకరిస్తుంది.

ఈ మాడ్యూల్ సిస్టమ్ మానిటరింగ్‌కు సంబంధించిన సాఫ్ట్‌వేర్ మెషీన్‌లో రన్ అవుతుందో లేదో మరియు యాంటీవైరస్ పరికరం ఉందా అని కూడా తనిఖీ చేస్తుంది.

ఇది క్రిప్టో వాలెట్ పొడిగింపు కోసం శోధిస్తుంది మరియు ఈ సమాచారాన్ని నిల్వ చేస్తుంది, అలాగే స్క్రీన్‌షాట్‌లను తీయడం, పత్రాలను దొంగిలించడం మరియు వినియోగదారు కార్యకలాపాలను పర్యవేక్షిస్తుంది.

అదనంగా, చివరి దశ మాడ్యూల్ C2 సర్వర్‌కు నిరంతర బ్యాక్‌డోర్‌ను ఏర్పాటు చేస్తుంది, దాడి చేసే వ్యక్తి బాధితుడి మెషీన్‌లో దీర్ఘకాలిక ఉనికిని కొనసాగించడానికి అనుమతిస్తుంది. ®