新的恶意软件活动通过游戏应用程序瞄准 Windows 用户

news2024/12/23 22:36:07

一种新的恶意软件 Winos4.0 被积极用于网络攻击活动。FortiGuard实验室发现,这种先进的恶意框架是从臭名昭著的 Gh0strat 演变而来的,配备了模块化组件,可在受感染的设备上进行一系列恶意活动。

这些攻击已在游戏相关应用程序中发现,例如安装工具和优化实用程序,它们充当了恶意软件的传递机制。

Winos4.0 为威胁行为者提供了全面的功能、稳定性和对目标系统的控制,使他们能够远程执行复杂的命令。FortiGuard Labs 报告称,该框架已部署在“Silver Fox”等活动中,表明其具有广泛渗透和利用系统的能力。

该恶意软件活动利用游戏相关软件(包括优化和安装工具)来接触毫无戒心的用户。一旦受害者运行受感染的应用程序,恶意软件就会从远程服务器检索伪装的 BMP 文件,启动一系列解码和执行操作,加载恶意组件。

攻击链

第一阶段:初始访问和 DLL 执行:安装后,恶意应用程序会下载并解码多个文件。这些文件存储在 Program Files 目录中一个随机命名的目录中,并使用特定密码和 XOR 密钥进行解码。这些步骤最终会提取并执行主要恶意文件“libcef.dll”,该文件用于将 shellcode 注入系统。值得注意的是,“学生注册系统”等文件名表明其可能针对教育部门。

第二阶段:配置和 C2 通信: Winos4.0 与命令和控制 (C2) 服务器建立通信,接收指令并下载模块以继续攻击。恶意软件将“x32”发送到 C2 服务器作为签入机制,接收包含其他攻击模块的加密数据。

第三阶段:持久性和 C2 服务器更新:恶意软件通过创建计划任务和使用编码数据更新注册表项来建立持久性。它还监视并将主 C2 服务器地址存储在注册表中,以确保继续访问受感染设备上的控制功能。

最后阶段:信息收集和监控: Winos4.0 包含广泛的数据收集功能,包括剪贴板监控和系统扫描。该恶意软件识别防病毒应用程序和监控工具,收集系统详细信息并检查加密钱包扩展。找到特定软件或文件后,它会启动数据收集并将敏感信息上传到 C2 服务器。

保护建议

Winos4.0 框架与 Cobalt Strike 和 Sliver 等已知攻击工具有相似之处,凸显了其作为未经授权的系统控制和数据窃取工具的潜力。

通过使用与游戏相关的应用程序来伪装其部署,Winos4.0 可以悄无声息地渗透到系统中并获得持久控制,研究人员表示,这对教育行业的用户来说尤其危险。

为了防范 Winos4.0,建议用户遵循以下最佳做法:

仅从经过验证的来源下载:避免从非官方或不受信任的平台下载应用程序。

使用信誉良好的防病毒软件:启用实时保护并定期更新防病毒工具以检测恶意框架。

监控系统活动:跟踪系统上的意外变化或可疑活动,例如新的计划任务或注册表中的不熟悉的文件。

Winos4.0 是一个专为深度系统渗透而设计的复杂框架。它使用多层加密和 C2 通信,这说明了在下载新应用程序时保持警惕的重要性,并强调了对强大的端点安全解决方案的需求。

更多内容搜索网络研究观

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2240542.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Redis - 集群(Cluster)

一、基本概念 上述的哨兵模式,提⾼了系统的可⽤性.但是真正⽤来存储数据的还是master和slave节点.所有的数 据都需要存储在单个master和slave节点中. 如果数据量很⼤,接近超出了master/slave所在机器的物理内存,就可能出现严重问题了. 如何获取更⼤的空间?加机器即可!所谓&q…

WebRTC项目一对一视频

开发步骤 1.客户端显示界面 2.打开摄像头并显示到页面 3.websocket连接 4.join、new-peer、resp-join信令实现 5.leave、peer-leave信令实现 6.offer、answer、candidate信令实现 7.综合调试和完善 1.客户端显示界面 步骤:创建html页面 主要是input、button、vide…

启动本地开发环境(自带热启动)yarn serve

文章目录 1. 安装 Yarn使用 npm 安装 Yarn使用 Chocolatey 安装 Yarn(Windows 用户)使用 Homebrew 安装 Yarn(macOS 用户) 2. 安装项目依赖3. 启动项目开发模式启动生产模式启动 4. 构建项目开发模式构建生产模式构建 5. 其他常用…

SpringCloud框架学习(第二部分:Consul、LoadBalancer和openFeign)

目录 六、Consul服务注册和发现 1.基本介绍 2.下载运行 3.服务注册与发现 (1)支付服务provider8001注册进consul (2)修改订单服务cloud-consumer-order80 4.CAP (1)CAP理论 (2&#x…

SAP ABAP开发学习记录——报表选择界面初始值

程序中定义选择界面的部分只是创建输入框,在后续使用中需要自行添加搜索条件,而有关时间或者日期这种,希望自动创建一个默认值,有两种方法,一种是在选择界面初始化时增加语句另外一种是通过在选择界面创建变式实现。 …

16.UE5拉怪机制,怪物攻击玩家,伤害源,修复原视频中的BUG

2-18 拉怪机制,怪物攻击玩家、伤害源、黑板_哔哩哔哩_bilibili 目录 1.实行行为树实现拉怪机制 1.1行为树黑板 1.2获取施加伤害对象(伤害源) 2.修复原视频中,第二次攻击怪物后,怪物卡在原地不动的BUG 3.怪物攻击玩…

大数据新视界 -- 大数据大厂之 Impala 性能飞跃:动态分区调整的策略与方法(上)(21 / 30)

💖💖💖亲爱的朋友们,热烈欢迎你们来到 青云交的博客!能与你们在此邂逅,我满心欢喜,深感无比荣幸。在这个瞬息万变的时代,我们每个人都在苦苦追寻一处能让心灵安然栖息的港湾。而 我的…

Vue3 笔记 (万字速通)

此笔记来至于尚硅谷,仅供笔者复习使用 1. Vue3 简介 2020年9月18日,Vue.js发布版3.0版本,代号:One Piece(n) 经历了:4800次提交、40个RFC、600次PR、300贡献者 官方发版地址:Rele…

Linux基础1

Linux基础1 Linux基础1学习笔记 ‍ 声明! ​​​学习视频来自B站up主 泷羽sec 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章 笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他…

Linux中.NET读取excel组件,不会出现The type initializer for ‘Gdip‘ threw an exception异常

组件,可通过nuget安装,直接搜名字: ExcelDataReader using ConsoleAppReadFileData.Model; using ExcelDataReader; using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Threading.Task…

320页PDF | 集团IT蓝图总体规划报告-德勤(限免下载)

一、前言 这份报告是集团IT蓝图总体规划报告-德勤。在报告中详细阐述了德勤为某集团制定的全面IT蓝图总体规划,包括了集团信息化目标蓝图、IT应用规划、数据规划、IT集成架构、IT基础设施规划以及IT治理体系规划等关键领域,旨在为集团未来的信息化发展提…

乐维网管平台(六):如何正确管理设备端口

一、什么是端口下联 在网络环境中,端口下联是指网络设备(通常是交换机)的端口与其他设备相连接的一种网络架构关系。交换机作为网络中的核心连接设备,其端口下联可以连接多种类型的终端设备,如计算机、服务器、IP 电话…

迁移学习相关基础

迁移学习 目标 将某个领域或任务上学习到的知识或模式应用到不同但相关的领域或问题中。 主要思想 从相关领域中迁移标注数据或者知识结构、完成或改进目标领域或任务的学习效果。 概述 Target data:和你的任务有直接关系的数据,但数据量少&#xff…

Diffusion Policy——斯坦福机器人UMI所用的扩散策略:从原理到其编码实现(含Diff-Control、ControlNet详解)

前言 本文一开始是属于此文《UMI——斯坦福刷盘机器人:从手持夹持器到动作预测Diffusion Policy(含代码解读)》的第三部分,考虑后Diffusion Policy的重要性很高,加之后续还有一系列基于其的改进工作 故独立成本文,且写的过程中 …

麒麟V10,arm64,离线安装docker和docker-compose

文章目录 一、下载1.1 docker1.2 docker-compose1.3 docker.service 二、安装三、验证安装成功3.1 docker3.2 docker-compose 需要在离线环境的系统了里面安装docker。目前国产化主推的是麒麟os和鲲鹏的cpu,这块的教程还比较少,记录一下。 # cat /etc/ky…

接口测试整体框架

接口测试 1. 接口 接口,也叫api(Application Programming Interface,应用程序编程接口),接口(Interface)是指不同软件组件或系统之间进行交互的点。接口定义了组件之间如何通信,包括…

2024 ECCV | DualDn: 通过可微ISP进行双域去噪

文章标题:《DualDn: Dual-domain Denoising via Differentiable ISP》 论文链接: DualDn 代码链接: https://openimaginglab.github.io/DualDn/ 本文收录于2024ECCV,是上海AI Lab、浙江大学、香港中文大学(薛天帆等…

AI制作ppt

1,kimi: 实际上也是AiPPT.cn这个网站(但是有实际次数限制) 2,其余专业AI ppt生成网站: (1)gamma:https://gamma.app/ 大概能制作7~10页左右 free的ppt,其余要…

10款PDF翻译工具的探索之旅:我的使用经历与工具特色!!

在如今的时代,PDF文件已经成为我们工作、学习和生活中不可或缺的一部分。但是,当遇到一些非母语或陌生语言的PDF文档时,这要怎么办呀!这时候翻译工具就显得尤为重要了。这也是我所遇到过的难题,现在我将与大家分享几款…

【java】java通过s3访问ceph报错

1.报错信息、背景 工作中起了几个访问ceph的服务pod节点,一段时间后1个节点一直报错Unable to execute HTTP request: Timeout waiting for connection from pool,详细i信息如下图片,有且仅有1个节点报错,其他节点访问正常。看日志…