Winos4.0 工具包的使用日益增多,给 Windows 用户带来新的威胁

admin 2024年11月11日13:20:00评论22 views字数 3856阅读12分51秒阅读模式

导 

安全专家警告称,高级黑客工具包 Winos4.0 已在全球传播。

Winos4.0 工具包的使用日益增多,给 Windows 用户带来新的威胁

趋势科技最初报告称,这款新工具包与知名工具包 Cobalt Strike 和 Sliver 一样,与最近发生的一系列网络攻击有关,最初是通过虚假软件下载传播的。今年,Fortinet 报告称,该工具包还通过游戏主题文件传播,目前这种传播方式有扩大的趋势,可能对更大的用户群构成威胁。

攻击框架

Winso4.0 是一个后漏洞利用工具包:在成功获得对系统的初始访问权限后,攻击者会利用它进行进一步的入侵和控制。

首先,它出现在用户下载的应用程序中,这些用户认为它是他们感兴趣的软件,包括 VPN 或针对中国市场的 Google Chrome 下载。在别名 Void Arachne 或 Silver Fox 下,攻击者利用这些非常流行的应用程序引诱用户,这些应用程序充满了旨在破坏其系统的恶意组件。

新的策略是攻击者使用游戏应用程序传播 Winos4.0,同样主要针对中国用户。这样,黑客就会改变并利用有吸引力的下载来侵入设备。

Winos4.0 工具包的使用日益增多,给 Windows 用户带来新的威胁

攻击链

Winos4.0 工具包的使用日益增多,给 Windows 用户带来新的威胁

恶意游戏

感染阶段

当受害者下载其中一个看似无害的文件时,Winos4.0工具包会启动四个阶段的感染:

1. 第 1 阶段:安装后,从远程域检索 DLL 文件 you.dll。此文件通过设置 Windows 注册表中的值在设备上安装持久性,以便恶意软件在系统重新启动后仍能持久存在:

2. 第 2 阶段:在此步骤中,加载注入的 shellcode 以下载必要的 API 并与 C2 服务器通信,这使黑客能够从受感染的设备发送命令并检索文件。

3. 第 3 阶段:它从 C2 服务器获取更多编码数据,这些数据存储在第二个 DLL 文件中,该文件名为上线模块.dll,并保存到 Windows 注册表中以供以后使用,同时更新服务器地址以维持恶意软件与其操作员之间的活动链接。

4. 最后阶段:最后阶段(login module.dll)将激活该工具包的所有主要功能,包括详细的系统数据收集(如 IP 地址和操作系统类型)、安全工具检测、加密钱包搜索以及隐藏后门。通过此后门连接,黑客可以窃取数据、执行命令并维持其活动监控。

逃避技术

Winos4.0 已经内置了扫描程序,用于检测安全产品,包括卡巴斯基、Avast、Bitdefender 和 Malwarebytes 的商业产品。

如果该工具包发现自己在受监视的环境中运行,它会改变其行为以避免被检测到,甚至退出。这种多功能性使得该工具在落入网络犯罪分子手中时非常危险。

新兴威胁

Winos4.0工具包仍在使用和微调,这一事实表明该工具包在网络攻击策略中的重要性日益增加。

正如Fortinet所解释的那样,它是一个多功能且功能强大的框架,“旨在远程控制受感染的系统”。这样的持续活动表明,Winos4.0正成为黑客用来控制Windows机器的工具。

预防措施

随时准备下载是安全专家对用户的不断警告,尤其是当涉及到看似流行的免费软件或游戏时。

避免从未知来源下载应用程序和其他形式的文件。即使验证软件或文件是否来自合法来源也可能使其免受感染。此外,必须经常更新安全软件。

了解 Winos4.0 的威胁可以让许多用户意识到这种复杂的恶意软件,从而防止他们受到这种恶意软件的侵害。

技术报告:https://www.fortinet.com/blog/threat-research/threat-campaign-spreads-winos4-through-game-application

新闻链接:

https://www.cysecurity.news/2024/11/growing-use-of-winos40-toolkit-poses.html

Winos4.0 工具包的使用日益增多,给 Windows 用户带来新的威胁

今日安全资讯速递

APT事件

Advanced Persistent Threat

朝鲜黑客瞄准加密货币公司,利用 macOS 上的Hidden Risk恶意软件

https://thehackernews.com/2024/11/north-korean-hackers-target-crypto.html

朝鲜加入乌克兰战争 亲俄黑客瞄准韩国

https://www.infosecurity-magazine.com/news/russian-hacktivits-south-korea/

IcePeony 和 Transparent Tribe 利用基于云的工具瞄准印度实体

https://thehackernews.com/2024/11/icepeony-and-transparent-tribe-target.html

一般威胁事件

General Threat Incidents

诈骗分子瞄准英国老年人发送冬季燃料补贴短信

https://www.bleepingcomputer.com/news/security/scammers-target-uk-senior-citizens-with-winter-fuel-payment-texts/

印度政府电子邮件账户遭未经授权访问

https://dailydarkweb.net/unauthorized-access-to-indian-government-email-accounts-allegedly-compromised/

SteelFox 恶意软件瞄准驱动程序漏洞,Windows PC 面临风险

https://www.cysecurity.news/2024/11/windows-pcs-at-risk-as-steelfox-malware.html

黑客使用 ZIP 文件串联来逃避检测

https://www.bleepingcomputer.com/news/security/hackers-now-use-zip-file-concatenation-to-evade-detection/

Winos4.0 工具包的使用日益增多,给 Windows 用户带来新的威胁

https://www.cysecurity.news/2024/11/growing-use-of-winos40-toolkit-poses.html

黑客利用 Excel 文件在 Windows 上传播 Remcos RAT 变种

https://hackread.com/hackers-use-excel-files-remcos-rat-variant-windows/

德克萨斯州油田供应商 Newpark 遭受勒索软件攻击

https://www.securityweek.com/texas-oilfield-supplier-newpark-hit-by-ransomware/

诺基亚称近期源代码泄露影响非常有限

https://www.securityweek.com/nokia-says-impact-of-recent-source-code-leak-is-very-limited/

恶意 NPM 软件包利用窃取数据的恶意软件攻击 Roblox 用户

https://thehackernews.com/2024/11/malicious-npm-packages-target-roblox.html

严重的 Veeam RCE 漏洞现已用于 Frag 勒索软件攻击

https://www.bleepingcomputer.com/news/security/critical-veeam-rce-bug-now-used-in-frag-ransomware-attacks/

漏洞事件

Vulnerability Incidents

思科发布针对工业无线系统中严重 URWB 漏洞的补丁

https://thehackernews.com/2024/11/cisco-releases-patch-for-critical-urwb.html

严重漏洞影响思科工业重型 WiFi 接入点

https://cybernews.com/security/critical-vulnerability-affects-cisco-industrial-wifi-routers/

D-Link 不会修复影响 60,000 台旧 NAS 设备的严重漏洞

https://www.bleepingcomputer.com/news/security/d-link-wont-fix-critical-flaw-affecting-60-000-older-nas-devices/

CISA 警告:Palo Alto Networks Expedition 漏洞(CVE-2024-5910)遭利用

https://www.securityweek.com/palo-alto-networks-expedition-vulnerability-exploited-in-attacks-cisa-warns/

HPE 修补 Aruba 接入点中的严重漏洞

https://www.securityweek.com/hpe-patches-critical-vulnerabilities-in-aruba-access-points/

趋势科技披露多款马自达车型的信息娱乐系统漏洞,可能导致黑客攻击

https://www.securityweek.com/unpatched-vulnerabilities-allow-hacking-of-mazda-cars-zdi/

Winos4.0 工具包的使用日益增多,给 Windows 用户带来新的威胁

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):Winos4.0 工具包的使用日益增多,给 Windows 用户带来新的威胁

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月11日13:20:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Winos4.0 工具包的使用日益增多,给 Windows 用户带来新的威胁https://cn-sec.com/archives/3382485.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息