De acuerdo a Laboratorios FortiGuardWinos4.0 es un malware que tiene varias funciones, incluida la realización de comprobaciones de software antivirus, el escaneo en busca de extensiones de billetera de criptomonedas y la recopilación de información del sistema mientras se ejecuta silenciosamente en segundo plano.
FortiGuard explica que el malware encontrado en aplicaciones relacionadas con juegos parece estar construido en base al troyano Gh0strat y contiene varios componentes que realizan diferentes tareas.
¿Cómo funciona el malware Winos4.0?
El informe sugiere que el malware se esconde dentro de varias aplicaciones relacionadas con juegos, como aceleradores de velocidad y utilidades de optimización. Winos4.0 se creó a partir de las cenizas de GhostRat, otro marco de malware diseñado para tomar el control de las computadoras objetivo que infecta.
Al igual que GhostRat, Winos4.0 puede apoderarse de su computadora, dándole al hacker control total del sistema. Pero ¿cómo ataca este malware?
Después de instalar la aplicación infectada, se descarga una imagen de mapa de bits falsa desde un servidor. La imagen extrae una biblioteca de enlaces dinámicos que se carga en el sistema. Luego se implementa profundamente en la computadora de destino, proporcionando control a nivel del sistema raíz.
Una instalación exitosa de Winos4.0 brinda a los actores de amenazas acceso a todo lo que hay en su sistema. Pueden buscar extensiones de billetera criptográfica y extensiones de antivirus. Además, recopile y envíe información cifrada del sistema al servidor de control, realice capturas de pantalla de su sistema e incluso administre documentos.
Los especialistas de FortiGuard recomiendan que para evitar Winos4.0 tengas en cuenta de dónde provienen todas tus descargas y verifiques tus fuentes antes de instalar.
Acciones maliciosas de Winos4.0
- Recopilación de información: obtiene datos detallados sobre el sistema, como dirección IP, características del sistema operativo y CPU.
- Detección de herramientas de seguridad: verifica la presencia de varios software de seguridad (Kaspersky, Avast, McAfee, entre otros) y ajusta su comportamiento si se encuentra en un entorno monitoreado.
- Mantenimiento de acceso persistente: mantiene una conexión de puerta trasera al servidor C2 para recibir comandos y filtrar datos.
- Robo y filtración de datos: tome capturas de pantalla, controle el portapapeles y extraiga documentos importantes.
