Специалисты по кибербезопасности зафиксировали значительный рост активности нового вредоносного фреймворка Winos4.0, который хакеры все чаще используют как альтернативу известным инструментам Sliver и Cobalt Strike. Основным вектором распространения этого вредоносного ПО стали поддельные игровые утилиты, нацеленные преимущественно на пользователей из Китая.
История появления и развитие угрозы
Первоначально фреймворк Winos4.0 был обнаружен экспертами Trend Micro летом 2024 года во время расследования серии кибератак на китайских пользователей. Хакерская группировка Void Arachne (Silver Fox) распространяла вредоносное ПО через поддельные версии популярного программного обеспечения, включая VPN-клиенты и браузер Google Chrome, якобы адаптированные для китайского рынка.
Механизм заражения и технические особенности
По данным исследователей Fortinet, процесс заражения системы происходит в несколько этапов после установки внешне легитимного ПО с домена ad59t82g[.]com. Первоначально загружается DLL-файл you.dll, который инициирует многоступенчатый процесс компрометации системы:
Этапы работы вредоносного ПО:
1. Первичное внедрение: загрузка дополнительных компонентов, создание среды выполнения и модификация реестра Windows для обеспечения персистентности.
2. Установление связи: активация шелл-кода для загрузки API и соединения с командным центром.
3. Обновление конфигурации: получение зашифрованных данных с C&C-сервера и их сохранение в реестре.
Функциональные возможности и механизмы защиты
Winos4.0 демонстрирует продвинутые возможности обнаружения средств защиты и антивирусного ПО. Фреймворк способен идентифицировать присутствие продуктов от ведущих производителей, включая Kaspersky, Avast, Symantec, Bitdefender, Dr.Web и других. При обнаружении защитного ПО малварь может изменять свое поведение или прекращать работу, чтобы избежать обнаружения.
Согласно анализу Fortinet, Winos4.0 представляет собой мощный инструмент пост-эксплуатации, сопоставимый по функциональности с известными фреймворками Cobalt Strike и Sliver. Особую озабоченность вызывает тот факт, что вредоносное ПО активно нацелено на образовательный сектор, о чем свидетельствуют названия некоторых компонентов, имитирующих системы управления учебным процессом.
Данная угроза подчеркивает необходимость комплексного подхода к кибербезопасности, включая регулярное обновление защитного ПО, тщательную проверку загружаемых приложений и повышение осведомленности пользователей о современных методах социальной инженерии и фишинга.
