Dataconomy IT
  • News
  • Industry
Subscribe
No Result
View All Result
Dataconomy IT
  • News
  • Industry
Subscribe
No Result
View All Result
Dataconomy IT
No Result
View All Result

Il kit post-sfruttamento Winos4.0 minaccia i giocatori Windows

byKerem Gülen
8 Novembre 2024
in Cybersecurity, Gaming
Home Cybersecurity
Share on FacebookShare on Twitter

Gli esperti di sicurezza informatica hanno identificato una nuova minaccia rivolta ai giocatori Windows: il framework dannoso Winos4.0, che si maschera da strumento di installazione e ottimizzazione del gioco. Scoperto per la prima volta dai FortiGuard Labs di Fortinet, Winos4.0 si è rapidamente evoluto in una sofisticata piattaforma malware con ampie capacità di controllo sui sistemi infetti. Di seguito esploriamo come funziona Winos4.0, il suo impatto sugli utenti e i settori a rischio.

Cos’è Winos4.0 e come funziona?

Winos4.0 è un framework malware che si incorpora in applicazioni apparentemente innocue legate ai giochi, come acceleratori di velocità e strumenti di installazione. Questo malware utilizza più fasi per penetrare, stabilire la persistenza e consentire agli aggressori di controllare in remoto i sistemi compromessi. Secondo Fortinetla prima fase dell’infezione inizia quando un utente scarica inconsapevolmente un’applicazione di gioco contaminata. Una volta installato, Winos4.0 avvia un processo di infezione in più fasi:

  1. Scarica ed esegui file dannosi: L’applicazione dannosa recupera un file .bmp mascherato da un server esterno. Il file estrae un file DLL (Dynamic Link Library) che consente al malware di integrarsi nel sistema.
  2. Modifiche al registro: il malware utilizza il file DLL per configurare un ambiente persistente creando chiavi di registro. Ciò garantisce che Winos4.0 rimanga attivo anche dopo il riavvio del sistema.
  3. Iniezione di shellcode e caricamento API: nei passaggi seguenti, il malware inserisce codice shell per caricare le interfacce di programmazione delle applicazioni (API), recuperare i dati di configurazione e stabilire una connessione di comando e controllo (C2).
  4. Comunicazione C2 avanzata: Winos4.0 comunica frequentemente con i server C2, consentendo agli operatori remoti di inviare comandi e scaricare moduli aggiuntivi per ulteriori utilizzi.

Fortinet sottolinea che “Winos4.0 è un framework potente… in grado di supportare molteplici funzioni e controllare facilmente i sistemi compromessi”, esortando gli utenti a evitare di scaricare software non verificato.

Il kit post-sfruttamento Winos4.0 minaccia i giocatori Windows
Winos4.0 è un framework malware che si incorpora in applicazioni apparentemente innocue legate ai giochi (Credito immagine)

Le funzionalità dannose di Winos4.0

Una volta completamente integrato nel sistema dell’utente, Winos4.0 può eseguire una serie di azioni dannose che mettono in pericolo la privacy dell’utente e la sicurezza dei dati. Le funzioni chiave di Winos4.0 includono:

  • Monitoraggio del sistema: il malware raccoglie informazioni di sistema come indirizzi IP, dettagli del sistema operativo e specifiche della CPU.
  • Acquisizione di schermate e appunti: Winos4.0 può acquisire screenshot e monitorare gli appunti, potenzialmente acquisendo informazioni sensibili, incluse password e indirizzi di portafogli di criptovaluta.
  • Sorveglianza ed esfiltrazione di dati: il malware utilizza la connessione ai server C2 per esfiltrare dati dal sistema infetto, consentendo agli aggressori di raccogliere documenti, intercettare l’attività dello schermo e monitorare il contenuto degli appunti.
  • Meccanismi anti-rilevamento: Winos4.0 verifica la presenza di software antivirus di fornitori come Kaspersky, Bitdefender e Malwarebytes. Se rileva tale software, modifica il proprio comportamento per evitare il rilevamento o interrompe del tutto l’esecuzione.

Attenzione Malware Octo2 prendendo di mira le banche europee, mascherate da app popolari

La ricerca di Fortinet sottolinea inoltre che Winos4.0 ricerca specificamente l’attività dei crypto-wallet sui sistemi infetti, evidenziando le motivazioni finanziarie dietro la progettazione del malware.

Winos4.0 può essere utilizzato anche per infiltrarsi negli istituti scolastici. FortiGuard Labs ha notato riferimenti nel codice del malware che suggeriscono un potenziale targeting dei sistemi nel settore dell’istruzione. Ad esempio, all’interno della struttura di Winos4.0 è stato trovato un file denominato “Campus Administration”, che indica un possibile tentativo di accedere ai sistemi amministrativi nelle scuole e nelle università.

Il kit post-sfruttamento Winos4.0 minaccia i giocatori Windows
Winos4.0 può eseguire una serie di azioni dannose che mettono in pericolo la privacy dell’utente e la sicurezza dei dati (Credito immagine)

Una storia di targeting per regioni specifiche

Secondo i rapporti delle società di sicurezza informatica Trend Micro e Fortinet, Winos4.0 è distribuito principalmente nelle regioni in cui gli utenti potrebbero avere maggiori probabilità di scaricare versioni software modificate, come la Cina. Campagne come Silver Fox e Void Arachne hanno utilizzato Winos4.0 per sfruttare gli utenti di lingua cinese, sfruttando i social media, tattiche di ottimizzazione dei motori di ricerca e app di messaggistica come Telegram per distribuire il malware.

Queste campagne riflettono una tendenza crescente secondo cui gli hacker adattano le strategie di distribuzione del malware in base a fattori geografici e culturali, attirando le vittime con versioni software su misura per regioni specifiche.

Gli esperti notano che Winos4.0 condivide somiglianze con altri noti framework di malware, come Cobalt Strike e Sliver. Come questi framework, Winos4.0 consente agli aggressori di controllare i sistemi da remoto e implementare varie funzioni che facilitano il furto, il monitoraggio e lo sfruttamento dei dati.

La natura modulare di Winos4.0 significa che può essere facilmente aggiornato e modificato, rendendolo uno strumento versatile per i criminali informatici. La sua somiglianza con Cobalt Strike e Sliver implica che Winos4.0 potrebbe potenzialmente fungere da piattaforma a lungo termine per attacchi informatici prolungati tra diversi gruppi di utenti.

Il kit post-exploitation Winos4.0 minaccia Windows gamers_05
Fortinet ha pubblicato un elenco di indicatori di compromesso (IoC) associati a Winos4.0 (Credito immagine)

Indicatori di compromesso (IoC)

Fortinet ha pubblicato un elenco di indicatori di compromesso (IoC) associati a Winos4.0, che includono file e chiavi di registro specifici. Gli utenti possono fare riferimento a questi IoC per verificare la presenza di segni di infezione. Gli indicatori degni di nota includono:

  • File DLL come you.dll e moduli con nomi di file cinesi come “上线模块.dll” (modulo di accesso).
  • Modifiche del registro in percorsi come “HKEY_CURRENT_USER\Console\0” in cui vengono archiviati i dati crittografati e gli indirizzi C2 vengono aggiornati.

Questi IoC sono vitali per le organizzazioni e gli individui per rilevare e rispondere in modo proattivo alle infezioni Winos4.0.

Tutele e raccomandazioni attuali

A partire da ora, le soluzioni antivirus di Fortinet hanno meccanismi di protezione integrati per rilevare e bloccare Winos4.0. Sebbene la società non abbia ancora rilasciato una guida dettagliata alla rimozione, Fortinet incoraggia gli utenti a monitorare attentamente il software scaricato.

Gli esperti raccomandano le seguenti precauzioni per ridurre al minimo il rischio di infezione:

  • Scarica solo software attendibile: Fortinet consiglia agli utenti di scaricare applicazioni esclusivamente da fonti affidabili e di prestare attenzione agli strumenti di ottimizzazione dei giochi che potrebbero apparire su siti Web non ufficiali.
  • Aggiorna regolarmente il software di sicurezza: L’aggiornamento del software antivirus può aiutare a rilevare le minacce malware emergenti, incluso Winos4.0.
  • Monitorare il traffico di rete: attività di rete insolite o connessioni a server sconosciuti possono indicare la presenza di malware come Winos4.0.

Credito immagine in primo piano: Kerem Gülen/Metà viaggio

Tags: FinestreSicurezza informatica

Related Posts

L'interruzione di Verizon di 10 ore è stata finalmente risolta

L'interruzione di Verizon di 10 ore è stata finalmente risolta

15 Gennaio 2026
Apple protegge Civilization VII per gli abbonati mobile e Mac di Arcade

Apple protegge Civilization VII per gli abbonati mobile e Mac di Arcade

15 Gennaio 2026
La FTC vieta a GM di vendere i dati dei conducenti senza il consenso esplicito

La FTC vieta a GM di vendere i dati dei conducenti senza il consenso esplicito

15 Gennaio 2026
I bambini ingannano Roblox con le foto di Kurt Cobain per aggirare i divieti di chat

I bambini ingannano Roblox con le foto di Kurt Cobain per aggirare i divieti di chat

14 Gennaio 2026
Resident Evil Requiem sarà al centro dell'evento del 15 gennaio

Resident Evil Requiem sarà al centro dell'evento del 15 gennaio

14 Gennaio 2026
EA rinvia la stagione 2 di Battlefield 6 al 17 febbraio

EA rinvia la stagione 2 di Battlefield 6 al 17 febbraio

14 Gennaio 2026

Recent Posts

  • L'interruzione di Verizon di 10 ore è stata finalmente risolta
  • OpenAI riassume i migliori talenti mentre la startup da 12 miliardi di dollari di Murati perde co-fondatori
  • OpenAI annuncia un accordo da 10 miliardi di dollari con Cerebras per 750 MW di elaborazione
  • Netflix lancia podcast video con Pete Davidson e Michael Irvin
  • Appfigure: la spesa per le app mobili ha raggiunto il record di 155,8 miliardi di dollari

Recent Comments

Nessun commento da mostrare.
Dataconomy IT

COPYRIGHT © DATACONOMY MEDIA GMBH, ALL RIGHTS RESERVED.

  • Sample Page

Follow Us

  • News
  • Industry
No Result
View All Result
Subscribe

This website uses cookies. By continuing to use this website you are giving consent to cookies being used. Visit our Privacy Policy.