Các nhà nghiên cứu an ninh mạng đang cảnh báo về phần mềm độc hại Winos 4.0, được phát tán qua các ứng dụng liên quan đến trò chơi như công cụ cài đặt và tiện ích tối ưu hóa.
Winos 4.0 là một nền tảng độc hại mạnh mẽ được ghi nhận từ tháng 6, với các nhóm hoạt động dưới tên Void Arachne và Silver Fox, cho phép kẻ tấn công kiểm soát nhiều thiết bị trực tuyến. Theo Fortinet FortiGuard Labs, Winos 4.0 được xây dựng lại từ một phần mềm độc hại cũ gọi là Gh0st RAT và có nhiều thành phần khác nhau, mỗi thành phần thực hiện các chức năng riêng.
Những cuộc tấn công này chủ yếu nhắm vào người dùng Trung Quốc, sử dụng các chiến thuật như tối ưu hóa công cụ tìm kiếm (SEO), mạng xã hội và ứng dụng nhắn tin như Telegram để phát tán phần mềm độc hại.
Khi người dùng cài đặt ứng dụng độc hại, quy trình lây nhiễm sẽ bắt đầu bằng cách tải xuống một tệp BMP giả từ máy chủ. Tệp này sau đó được giải mã thành một thư viện DLL, mà sẽ tải xuống thêm các tệp khác từ cùng một máy chủ. Trong số đó, một tệp có tên là “学籍系统” (Hệ thống đăng ký sinh viên) cho thấy kẻ tấn công có thể đang nhắm đến các tổ chức giáo dục.
Phần mềm độc hại này có khả năng thu thập thông tin hệ thống, sao chép nội dung clipboard và thu thập dữ liệu từ các ví điện tử như OKX Wallet và MetaMask. Winos 4.0 cũng cho phép kẻ tấn công tải xuống các plugin khác từ máy chủ để chụp ảnh màn hình và tải lên tài liệu nhạy cảm từ hệ thống bị nhiễm.
Fortinet nhận xét rằng Winos 4.0 là một nền tảng mạnh mẽ, tương tự như Cobalt Strike, có thể kiểm soát sâu vào các hệ thống bị xâm phạm. Các cuộc tấn công sử dụng ứng dụng tối ưu hóa trò chơi để khiến nạn nhân tải xuống phần mềm độc hại mà không nghi ngờ.
Ngoài ra, Trung tâm Tình báo An ninh AhnLab (ASEC) cũng phát hiện một chiến dịch khác sử dụng trang web giả mạo trò chơi cờ bạc để lây nhiễm phần mềm WrnRAT, có khả năng đánh cắp thông tin và cung cấp quyền điều khiển từ xa cho kẻ tấn công. ASEC cảnh báo rằng kẻ tấn công có thể theo dõi hoạt động của người dùng trò chơi cờ bạc, dẫn đến tổn thất tài chính.
Các nhà nghiên cứu khuyến cáo người dùng nên tránh tải xuống ứng dụng từ nguồn không rõ ràng và luôn cẩn trọng với các công cụ tối ưu hóa trò chơi, nhằm bảo vệ thông tin cá nhân và tránh bị lừa đảo.
Nguồn: the hacker news