Winos4.0 악성 코드는 Windows 게이머를 표적으로 삼습니다.

Fortinet FortiGuard Labs의 사이버 보안 연구원들이 Microsoft Windows 사용자를 표적으로 삼는 새로운 악성 코드 캠페인을 발견했습니다. Winos4.0이라고 불리는 이 악성코드는 설치 도구, 속도 부스터, 최적화 유틸리티 등 게임 관련 애플리케이션 내에 숨겨져 있습니다. 사용자가 이러한 앱을 다운로드하고 실행하면 트로이 목마 역할을 하며 시스템에 Winos4.0 프레임워크를 설치합니다.

연구원들은 이 악성 코드의 여러 샘플을 발견하고 디코딩된 DLL 파일을 분석했습니다. 그들은 중국어로 “캠퍼스 관리”를 의미하는 “校园政务”라는 파일 설명을 기반으로 해당 악성코드가 교육 분야를 표적으로 삼을 가능성이 있다는 것을 알아냈습니다. Winos4.0은 광범위한 기능, 안정적인 아키텍처 및 많은 온라인 엔드포인트에 대한 효율적인 제어를 제공하는 고급 악성 코드 프레임워크입니다.

이 프레임워크는 2008년 중국 해킹 그룹 C. Rufus Security Team이 만든 강력한 원격 액세스 트로이 목마인 Gh0stRat에서 재구축되었습니다. 프레임워크에는 각각 서로 다른 기능을 처리하는 여러 모듈식 구성 요소가 있습니다.

Winos4.0 프레임워크는 이미 Silver Fox와 같은 여러 공격 캠페인에 사용되었습니다.

Winos4.0은 Windows 게이머를 대상으로 합니다.

다단계 공격은 원격 서버에서 가짜 BMP 파일을 검색한 후 이를 디코딩하여 “you.dll”이라는 DLL 파일을 추출하는 것으로 시작됩니다. 이 파일은 다음 단계로 진행하기 위해 로드됩니다.

“You.dll”은 원격 경로에서 세 개의 파일을 다운로드하고 임의의 이름으로 폴더를 생성한 후 파일을 추출합니다. 한 파일은 깨끗한 파일을 드러내고 다른 파일은 주요 악성 파일인 “libcef.dll”을 드러냅니다. 그런 다음 추출된 파일은 “libcef.dll”을 로드하여 쉘코드를 삽입하고 XOR 키를 사용하여 다른 파일을 디코딩합니다. 주입된 쉘코드는 API를 로드하고, 구성 데이터를 검색하고, TCP 프로토콜을 사용하여 C2 서버에 연결을 설정합니다.

C2 서버는 암호화된 데이터로 응답하고 이를 XOR로 복호화하여 모듈을 실행합니다. 모듈은 C2 서버에서 데이터를 다운로드하고 해당 주소를 레지스트리에 기록하며 공격의 최종 단계를 위한 단계를 설정합니다. 마지막 단계에서는 충돌 재시작 활성화, 클립보드 내용 기록, 특정 응용 프로그램 확인, 시스템 정보 수집, 암호화폐 지갑 확장 및 바이러스 백신 어플라이언스 확인, 로그인 메시지 보내기, 연결 유지 등 다양한 작업을 수행하는 파일을 시작합니다. C2 서버.

Winos4.0의 기능은 손상된 시스템을 쉽게 제어할 수 있는 강력한 프레임워크임을 보여줍니다. 연구원들은 사용자가 자격을 갖춘 소스에서만 소프트웨어를 다운로드하고 타사 앱 스토어 및 웹 사이트를 피해야 한다고 권장합니다. 또한 특히 새 파일을 다운로드한 후에는 바이러스 백신 소프트웨어로 장치를 정기적으로 검사할 것을 제안합니다.

사무실 환경에서는 의도하지 않은 맬웨어 설치를 방지하기 위해 시스템이 워크스테이션에 앱을 다운로드하지 못하도록 차단해야 합니다.