Dei criminali stanno sfruttando applicazioni legate al gaming per infettare sistemi Windows con un framework malware chiamato Winos4.0, il quale consente agli attaccanti di assumere il pieno controllo dei computer compromessi. Secondo quanto riportato da Fortinet, il malware sembra essere una versione ricostruita di Gh0strat e presenta diversi componenti con funzioni distinte.
Sono stati individuati "numerosi" campioni del malware nascosti in strumenti di installazione di giochi, acceleratori di velocità e utility di ottimizzazione. Fortinet afferma che Winos4.0 è simile a Cobalt Strike e Sliver, strumenti legittimi per il red teaming che vengono spesso utilizzati illegalmente dai criminali informatici per distribuire ransomware e altro malware, oltre che per il movimento laterale e lo spionaggio informatico.
Winos4.0 è stato impiegato in diverse campagne di attacco, tra cui quelle attribuite a Silver Fox, un gruppo sospettato di avere legami con il governo cinese. Gli esperti avvertono che "l'intera catena di attacco coinvolge numerosi dati crittografati e molte comunicazioni con server di comando e controllo per completare l'infezione".
L'attacco inizia con un'esca legata al gaming; una volta che la vittima esegue l'applicazione malevola, questa scarica un falso file BMP che avvia il processo di infezione. La prima fase prevede un file DLL che prepara l'ambiente di esecuzione, inietta lo shellcode e stabilisce la persistenza sul sistema.
Nella seconda fase, lo shellcode carica le API necessarie, recupera l'indirizzo del server di comando e controllo (C2) e stabilisce la comunicazione con esso. Successivamente, un altro file DLL scarica dati codificati dal server C2 e li salva nel registro di sistema.
L'ultima fase contiene il payload principale che esegue tutte le attività malevole sulla macchina infetta. Questo modulo raccoglie informazioni dettagliate sull'host compromesso, verifica la presenza di software antivirus, cerca estensioni di wallet di criptovalute e monitora le attività dell'utente. Inoltre, stabilisce una backdoor persistente verso il server C2, permettendo all'attaccante di mantenere una presenza a lungo termine sul sistema della vittima.