Malware Winos 4.0
Pesquisadores de segurança cibernética revelaram uma campanha de malware que implanta instaladores de software falsos, disfarçados de ferramentas populares como LetsVPN e QQ Browser, para implementar a estrutura Winos 4.0.
A campanha, identificada pela Rapid7 pela primeira vez em fevereiro de 2025, utiliza um carregador residente na memória de vários estágios, conhecido como Catena.
“O Catena incorpora código shell e usa lógica de alternância de configuração para armazenar payloads como o Winos 4.0 inteiramente na memória, permitindo que ele ignore as ferramentas antivírus tradicionais”, disseram os pesquisadores de segurança Anna Širokova e Ivan Feigl. explicado. “Uma vez instalado, ele se conecta silenciosamente a servidores controlados pelo invasor — hospedados principalmente em Hong Kong — para obter instruções de acompanhamento ou malware adicional.”
Assim como incidentes anteriores envolvendo o Winos 4.0, esses ataques parecem ter como alvo específico ambientes de língua chinesa. A empresa de segurança cibernética enfatizou o “planejamento cuidadoso e de longo prazo” demonstrado por um agente de ameaças altamente qualificado.
A Trend Micro documentou publicamente o Winos 4.0 (também conhecido como ValleyRAT) pela primeira vez em junho de 2024, observando seu uso em ataques contra usuários de língua chinesa por meio de arquivos maliciosos do Windows Installer (MSI) disfarçados de aplicativos de VPN. A empresa vinculou essa atividade a um cluster de ameaças que rastreia como Void Arachne, também conhecido como Silver Fox.
Desde então, outras campanhas têm usado aplicativos relacionados a jogos — como ferramentas de instalação, aceleradores e utilitários de otimização — como isca para induzir os usuários a instalar o malware. Outra onda de ataques, relatada em fevereiro de 2025, teve como alvo entidades em Taiwan usando e-mails de phishing que alegavam ser do Departamento Nacional de Impostos.
Construído sobre a estrutura do conhecido trojan de acesso remoto Gh0st RAT, o Winos 4.0 é uma plataforma maliciosa avançada escrita em C++. Ele utiliza um sistema baseado em plugins para coletar dados, habilitar acesso remoto via shell e executar ataques distribuídos de negação de serviço (DDoS).
Fluxo de infecção baseado em QQBrowser observado em fevereiro de 2025
O Rapid7 relatou que todos os artefatos sinalizados em fevereiro de 2025 usavam instaladores NSIS agrupados com aplicativos de distração assinados, código shell incorporado em arquivos “.ini” e injeção reflexiva de DLL. Esses elementos trabalham juntos para manter a persistência secreta em hosts infectados e evitar a detecção. Os pesquisadores apelidaram toda a cadeia de infecção de “Catena”.
“Até o momento, a campanha permaneceu ativa ao longo de 2025, demonstrando uma cadeia de infecção consistente com alguns ajustes táticos — um sinal claro de um agente de ameaça capaz e adaptável”, observaram os pesquisadores.
Como funciona
A infecção começa com um Instalador NSIS trojanizado se passando por um Instalador QQBrowser legítimo — um navegador baseado em Chromium desenvolvido pela Tencent. Este instalador foi projetado para executar o WinOS 4.0 usando a estrutura Catena. Uma vez ativo, o malware se comunica com a infraestrutura de comando e controle (C2) codificada pela porta TCP 18856 e pela porta HTTPS 443.
Do instalador LetsVPN ao Winos 4.0 em abril de 2025
O malware mantém a persistência no host registrando tarefas agendadas que são Executadas semanas após o Comprometimento inicial. Embora o malware inclua uma verificação integrada das configurações do idioma chinês no sistema, ele ainda prossegue com a Execução mesmo que essas configurações estejam Ausentes.
Esse comportamento sugere que o recurso ainda não foi concluído e provavelmente aparecerá em versões futuras do malware. Enquanto isso, em abril de 2025, a Rapid7 observou uma “mudança tática” que não apenas alterou partes da cadeia de execução do Catena, mas também introduziu novos métodos para escapar da Detecção de Antivírus.
Na sequência de ataque atualizada, o instalador do NSIS se disfarça como um arquivo de configuração para o LetsVPN e executa um comando do PowerShell que adiciona exclusões do Microsoft Defender para todas as unidades (C:\ a Z:).
Depois disso, ele implementa Payloads adicionais, incluindo um executável que captura um instantâneo dos processos em execução e verifica aqueles associados ao 360 Total Security, uma solução antivírus do fornecedor chinês Qihoo 360.
O binário carrega uma assinatura digital emitida pela VeriSign sob o nome Tencent Technology (Shenzhen), embora o certificado tenha expirado em 11/10/2018 e tenha sido válido até 02/02/2020.
Este executável realiza principalmente o carregamento reflexivo de DLLs, permitindo a conexão a um Servidor de comando e controle (C2) — seja “134.122.204[.]11:18852” ou “103.46.185[.]44:443” — para recuperar e executar o malware Winos 4.0.
“Esta campanha ilustra uma operação de malware bem coordenada e com foco regional, que utiliza instaladores NSIS trojanizados para implantar silenciosamente o preparador Winos 4.0”, observaram os pesquisadores.
“Ele depende fortemente de payloads residentes na memória, injeção reflexiva de DLL e software falso assinado com certificados legítimos para permanecer indetectável. Sobreposições de infraestrutura e segmentação baseada em idioma sugerem fortemente uma conexão com o APT Silver Fox, com atividade em andamento provavelmente direcionada a ambientes de língua chinesa.”
Fonte: TheHackerNews
Leia mais em Impreza News
