Especialistas descubrieron un nuevo malware llamado Winos4.0, que se propaga sin ser detectado al esconderse en aplicaciones relacionadas con juegos en Windows, como herramientas de instalación y potenciadores de rendimiento.
De acuerdo con FortiGuard Labs, Winos4.0 es un malware que tiene varias funciones, incluida la realización de comprobaciones de software antivirus, el escaneo de extensiones de billeteras de criptomonedas y la recopilación de información del sistema mientras funciona silenciosamente en segundo plano.
FortiGuard explica que el malware que se encuentra en las apps relacionadas con los juegos parece estar construido basándose en el troyano Gh0strat y contiene varios componentes que se encargan de diferentes tareas.
¿Cómo funciona el malware Winos4.0?
El informe sugiere que el malware se esconde dentro de varias aplicaciones relacionadas con los juegos, como los refuerzos de velocidad y las utilidades de optimización. Winos4.0 fue construido a partir de las cenizas de GhostRat, otro marco de malware diseñado para tomar el control de las computadoras objetivo que infecta.
Al igual que GhostRat, Winos4.0 puede apoderarse de tu computador, dando al hacker el control total del sistema. Pero, ¿cómo ataca este malware?
Después de instalar la aplicación infectada, se descarga una imagen de mapa de bits falsa de un servidor. La imagen extrae una biblioteca de enlaces dinámicos que se carga en el sistema. A continuación, se despliega en lo más profundo del equipo de destino, lo que proporciona el control a nivel del sistema raíz.
Una instalación exitosa de Winos4.0 les da a los actores de amenazas acceso a todo en su sistema. Pueden buscar extensiones de billeteras criptográficas y extensiones antivirus. Además, recopilar y enviar información codificada del sistema al servidor de control, capturar capturas de pantalla de su sistema e incluso administrar documentos.
Los especialistas de FortiGuard recomiendan que para evitar Winos4.0 se debe tener en cuanta de dónde provienen todas tus descargas y verifica tus fuentes antes de instalar.
Acciones maliciosas de Winos4.0
- Recopilación de información: obtiene datos detallados sobre el sistema, como la dirección IP, características del sistema operativo, y la CPU.
- Detección de herramientas de seguridad: revisa la presencia de varios software de seguridad (Kaspersky, Avast, McAfee, entre otros) y ajusta su comportamiento en caso de estar en un entorno monitoreado.
- Mantenimiento de acceso persistente: mantiene una conexión de backdoor con el servidor de C2 para recibir órdenes y exfiltrar datos.
- Robos y exfiltración de datos: realiza capturas de pantalla, monitoriza el portapapeles y extrae documentos importantes.