El malware Winos4.0 está siendo utilizado cada vez más por cibercriminales en ataques dirigidos a usuarios de Windows, distribuyéndose a través de aplicaciones aparentemente inofensivas relacionadas con juegos. Este kit de post-explotación, documentado por primera vez por Trend Micro a mediados de 2024, es similar en su alcance y complejidad a herramientas conocidas como Sliver y Cobalt Strike, utilizadas para el control y manipulación de sistemas infectados.
Distribución de Winos4.0 a través de Aplicaciones Modificadas
Inicialmente, se descubrió que un actor de amenazas conocido como Void Arachne o Silver Fox utilizaba versiones modificadas de programas populares como VPNs y navegadores Chrome personalizados para el mercado chino, integrando el malware Winos4.0. Sin embargo, un informe reciente de la compañía de ciberseguridad Fortinet muestra una evolución en la estrategia de ataque, que ahora incluye archivos de juegos y aplicaciones relacionadas, con un enfoque específico en usuarios en China.
Proceso de Infección: Un Ataque en Múltiples Etapas
El ataque Winos4.0 sigue un sofisticado proceso en múltiples fases, que se detalla a continuación:
- Descarga del Componente Malicioso: Al ejecutar la aplicación infectada, se descarga un archivo DLL desde un dominio controlado por el atacante, lo que inicia el proceso de infección.
- Persistencia en el Sistema: Esta primera DLL instala archivos adicionales, configura el entorno de ejecución y asegura su persistencia en el sistema mediante entradas en el Registro de Windows.
- Establecimiento de Conexión con el Servidor de Comando y Control (C2): En la segunda fase, se ejecuta un shellcode que carga APIs, recupera configuraciones y establece una conexión con el servidor de C2.
- Carga de Módulos Adicionales: La última etapa implica la ejecución de otro DLL que realiza las principales actividades maliciosas, como recopilar información del sistema, verificar la presencia de antivirus y programas de monitoreo, y capturar datos sensibles como credenciales de wallets de criptomonedas.
Funcionalidades y Acciones Maliciosas de Winos4.0
El módulo principal, una vez activo, realiza una serie de acciones peligrosas en el sistema comprometido:
- Recopilación de Información: Obtiene datos detallados sobre el sistema, como la dirección IP, características del sistema operativo, y la CPU.
- Detección de Herramientas de Seguridad: Revisa la presencia de varios software de seguridad (Kaspersky, Avast, McAfee, entre otros) y ajusta su comportamiento en caso de estar en un entorno monitoreado.
- Mantenimiento de Acceso Persistente: Mantiene una conexión de backdoor con el servidor de C2 para recibir órdenes y exfiltrar datos.
- Robos y Exfiltración de Datos: Realiza capturas de pantalla, monitoriza el portapapeles y extrae documentos importantes.
Consecuencias y Recomendaciones
La continua aparición de campañas que emplean Winos4.0 refleja que esta herramienta se está consolidando en el arsenal de los cibercriminales. Fortinet destaca el alto nivel de control que este framework ofrece a los atacantes, haciendo de Winos4.0 un peligroso equivalente a Cobalt Strike y Sliver en entornos comprometidos.
Conclusión
Winos4.0 representa una amenaza sofisticada y efectiva para usuarios de Windows, especialmente aquellos que descargan aplicaciones de juegos o software no oficial. Con su habilidad para evadir herramientas de seguridad y robar datos sensibles, es crucial que las organizaciones y usuarios finales fortalezcan sus estrategias de ciberseguridad para prevenir y mitigar los efectos de posibles infecciones.