Pesquisadores descobriram um novo malware, o Winos4.0, que se espalha sem ser detectado, escondendo-se em aplicativos relacionados a jogos no Windows, como ferramentas de instalação e impulsionadores de desempenho.
Criado com componentes modulares, esse malware pode executar várias ações remotamente, permitindo que os malfeitores exerçam amplo controle sobre os sistemas comprometidos.
O malware Winos4.0 verifica se há extensão de carteira de criptomoedas
De acordo com o FortiGuard Labs, o Winos4.0 tem várias funções importantes, incluindo a realização de verificações de software antivírus, a verificação de extensões de carteiras de criptomoedas e a coleta de informações do sistema enquanto opera silenciosamente em segundo plano.
Conhecido como uma variante sofisticada do trojan Gh0stRat, o malware Winos4.0 usa uma estrutura modular para injetar códigos de shell prejudiciais, decodificar arquivos ocultos e carregar módulos essenciais que ajudam a manter o controle sobre sistemas comprometidos.
Winos4.0 is a new variant of the Gh0strat malware targeting Windows users. It spreads through game-related applications and, once installed, grants attackers remote control over the compromised systems. pic.twitter.com/WlOfxNcFR4
— Alex (@Jfreeg_) November 6, 2024
O Winos4.0 emprega uma intrincada cadeia de infecção que começa quando um usuário instala um aplicativo aparentemente inofensivo, como um impulsionador de desempenho ou uma ferramenta de instalação, que secretamente contém o Winos4.0.
Após a execução, o malware inicia uma sequência de ataque baixando um Bitmap (BMP), um formato de arquivo de imagem usado para armazenar imagens digitais, de um servidor remoto controlado pelo invasor.
Esse arquivo extrai e ativa o arquivo DLL (Dynamic Link Library) do Winos4.0, permitindo que o malware implemente módulos maliciosos adicionais e garanta sua persistência no sistema infectado. Ele cria chaves de registro ou tarefas agendadas para conseguir isso, dificultando a detecção ou a remoção do malware pelo usuário.
Uma investigação mais aprofundada também revela que o malware se comunica com servidores de comando e controle (C2) para receber módulos e instruções criptografados. Ele recupera endereços de servidores C2 de chaves de registro específicas, garantindo que possa manter uma conexão constante para receber mais comandos.
Essa conexão permite que o malware execute várias ações, como gerenciar documentos, capturar telas e monitorar o ambiente do sistema infectado, fornecendo aos atacantes amplos recursos de vigilância.
Devido aos sérios riscos apresentados pelo Winos4.0, os especialistas recomendam que os usuários se protejam baixando software somente de fontes verificadas e usando programas antivírus de boa reputação.
Confira mais conteúdos sobre Cibersegurança