Hackers proberen via game-gerelateerde applicaties het kwaadaardige software framework Winos4.0 naar Windows-endpoints te verspreiden om volledige controle te verkrijgen. De nu ontdekte malware is een herbouwde variant van Gh0strat en vertoont gelijkenissen met CobaltStrike- en Silver Fox-campagnes.
Game-gerelateerde applicaties, bijvoorbeeld installatie-tools of optimalisatie-benodigdheden zijn geïnfecteerd voor het verspreiden van de Winos4.0-malware naar Windows-gebaseerde machines, ontdekten de securityspecialisten van FortiLabs.
De in de gaming-gerelateerde applicaties aangetroffen malware lijkt te zijn opgebouwd op basis van de Gh0strat-trojan en bevat verschillende componenten die verschillende taken afhandelen.
Het doel van de malware is het verkrijgen van volledige controle over de geïnfecteerde Windows-systemen. Voor dit doeleinde verzamelt de malware informatie over de geïnfecteerde hosts, zoals IP-adressen, het gebruikte OS, informatie over de processor, het opslagmedium, de netwerkkaart, de directory-naam en tijdstippen.
Ook checkt de malware of er systeemmonitorings- en anti-virussoftware op de getroffen machine draait. Het zoekt tevens naar een crypto wallet-extensie, slaat de aangetroffen informatie op, maakt screenshots, steelt documenten en houdt de activiteiten van gebruikers in de gaten.
Last, but nog least zorgt een module in de laatste aanvalsfase ervoor dat er een blijvende backdoor naar de C2-server van de hackers wordt opgezet om langdurig op de getroffen machine aanwezig te kunnen zijn.
Aanval in vier fases
Het aanvalspad verloopt in vier fases. In de eerste fase worden slachtoffers verleid een gaming-tool te downloaden. Bij het draaien van deze applicatie wordt via een fake BMP-bestand een DLL-file bestand aangemaakt dat de draai-omgeving van de malware opzet, shellcode injecteert en persistence bewerkstelligt. Dit Chinees aandoende DLL-bestand, “学籍系统,” zou zich mogelijk vooral op onderwijsorganisaties richten.
In de tweede fase laadt de geïnjecteerde shellcode kwaadaardige API’s, haalt het command&control (C2) -adres op en zet het verkeer met deze server op. Als derde trap in het infectieproces downloadt het DLL-bestand “上线模块” gecodeerde data van de C2-server en bewaart dit in een registry.
De vierde en laatste stap van het proces wordt het DLL-bestand “登录模块” uitgerold met de belangrijkste kwaadaardige payload. Deze payload voert uiteindelijk alle malware-acties uit op de getroffen machine.
Cobalt Strike en Silver Fox
Volgens de experts van FortiLabs vertoont de nu uitgevoerde Winos4.0-aanval een aantal opvallende gelijkenissen met aanvallen die via de tool CobaltStrike en Silver Fox-trojan zijn uitgevoerd.
Hoewel hiervoor nu de Gh0start-trojan (opnieuw) zijn gebruikt, lijkt het hergebruik of retooling van componenten sterk op het modificeren van de bovengenoemde software en malware om kwaadaardige acties te laten plaatsvinden. Winos4.0 is bijvoorbeeld in de Silver Fox-campagnes gebruikt, wellicht door Chinese staatshackers.
Lees ook: ‘Pygmy Goat’-malware helpt Chinese staatshackers netwerken aan te vallen