当前位置：首页 > news >正文

新的恶意软件活动通过游戏应用程序瞄准 Windows 用户

news 文章来源：https://blog.csdn.net/qq_29607687/article/details/143678520 2025/5/19 5:14:19

一种新的恶意软件 Winos4.0 被积极用于网络攻击活动。FortiGuard实验室发现，这种先进的恶意框架是从臭名昭著的 Gh0strat 演变而来的，配备了模块化组件，可在受感染的设备上进行一系列恶意活动。

这些攻击已在游戏相关应用程序中发现，例如安装工具和优化实用程序，它们充当了恶意软件的传递机制。

Winos4.0 为威胁行为者提供了全面的功能、稳定性和对目标系统的控制，使他们能够远程执行复杂的命令。FortiGuard Labs 报告称，该框架已部署在“Silver Fox”等活动中，表明其具有广泛渗透和利用系统的能力。

该恶意软件活动利用游戏相关软件（包括优化和安装工具）来接触毫无戒心的用户。一旦受害者运行受感染的应用程序，恶意软件就会从远程服务器检索伪装的 BMP 文件，启动一系列解码和执行操作，加载恶意组件。

攻击链

第一阶段：初始访问和 DLL 执行：安装后，恶意应用程序会下载并解码多个文件。这些文件存储在 Program Files 目录中一个随机命名的目录中，并使用特定密码和 XOR 密钥进行解码。这些步骤最终会提取并执行主要恶意文件“libcef.dll”，该文件用于将 shellcode 注入系统。值得注意的是，“学生注册系统”等文件名表明其可能针对教育部门。

第二阶段：配置和 C2 通信： Winos4.0 与命令和控制 (C2) 服务器建立通信，接收指令并下载模块以继续攻击。恶意软件将“x32”发送到 C2 服务器作为签入机制，接收包含其他攻击模块的加密数据。

第三阶段：持久性和 C2 服务器更新：恶意软件通过创建计划任务和使用编码数据更新注册表项来建立持久性。它还监视并将主 C2 服务器地址存储在注册表中，以确保继续访问受感染设备上的控制功能。

最后阶段：信息收集和监控： Winos4.0 包含广泛的数据收集功能，包括剪贴板监控和系统扫描。该恶意软件识别防病毒应用程序和监控工具，收集系统详细信息并检查加密钱包扩展。找到特定软件或文件后，它会启动数据收集并将敏感信息上传到 C2 服务器。

保护建议

Winos4.0 框架与 Cobalt Strike 和 Sliver 等已知攻击工具有相似之处，凸显了其作为未经授权的系统控制和数据窃取工具的潜力。

通过使用与游戏相关的应用程序来伪装其部署，Winos4.0 可以悄无声息地渗透到系统中并获得持久控制，研究人员表示，这对教育行业的用户来说尤其危险。

为了防范 Winos4.0，建议用户遵循以下最佳做法：

仅从经过验证的来源下载：避免从非官方或不受信任的平台下载应用程序。

使用信誉良好的防病毒软件：启用实时保护并定期更新防病毒工具以检测恶意框架。

监控系统活动：跟踪系统上的意外变化或可疑活动，例如新的计划任务或注册表中的不熟悉的文件。

Winos4.0 是一个专为深度系统渗透而设计的复杂框架。它使用多层加密和 C2 通信，这说明了在下载新应用程序时保持警惕的重要性，并强调了对强大的端点安全解决方案的需求。

更多内容搜索网络研究观

新的恶意软件活动通过游戏应用程序瞄准 Windows 用户

相关文章：

新的恶意软件活动通过游戏应用程序瞄准 Windows 用户

【Hutool系列】反射工具-ReflectUtil

【操作系统专业课】第二次作业

Scala的迭代器

（RK3566驱动开发 - 1）.pinctrl和gpio子系统

css三角制作（二十课）

C++_priority_queue(优先级队列)

微信小程序——01开发前的准备和开发工具

MySQL 的主从复制数据同步

python——面向对象

Microsoft 365 Exchange如何设置可信发件IP白名单

LM27313典型电路之升压电路

嵌入式面试八股文（七）·#ifndef#define#endif的作用、以及内存分区（全局区、堆区、栈区、代码区）

【弱监督视频异常检测】2024-ESWA-基于扩散的弱监督视频异常检测常态预训练

Android 13 实现屏幕熄屏一段时候后关闭 Wi-Fi 和清空多任务列表

Elasticsearch磁盘占用大于95%时将所有索引置为只读

删除 git config 保存的密码

Springboot环境搭建详解

SpringCloud框架学习（第三部分：Resilience4j 与 Micrometer）

Scala的Map集合（不可变）

深入剖析：Spring MVC与Struts的较量

4.Mybatis中，在Mapper的SQL映射文件中，使用＜choose＞＜when＞无法识别参数的情况

antd proFromSelect 懒加载+模糊查询

Spring Boot 牛刀小试 org.springframework.boot:spring-boot-maven-plugin:找不到类错误

qt中ctrl+鼠标左键无法进入

丹摩征文活动 | 丹摩智算平台：服务器虚拟化的璀璨明珠与实战秘籍

本机ip地址和网络ip地址一样吗

websocket身份验证

案例解读 | 某三甲医院IT监控体系升级实例

Ubuntu20.04 为脚本文件创建桌面快捷方式 ubuntu