游戲玩家請(qǐng)注意！Winos4.0木馬已“潛伏”

數(shù)字時(shí)代，電子游戲已成為全球數(shù)十億人日常生活?yuàn)蕵凡豢苫蛉钡囊徊糠�。但FortiGuard Labs (Fortinet全球威脅研究與響應(yīng)實(shí)驗(yàn)室) 最近檢測(cè)到了一個(gè)嚴(yán)峻現(xiàn)實(shí)：黑客正通過游戲相關(guān)的虛假應(yīng)用程序散播Winos4.0木馬，這不僅嚴(yán)重威脅到游戲玩家們的設(shè)備和數(shù)據(jù)安全，在BYOD (自帶設(shè)備辦公) 的大背景下，這種風(fēng)險(xiǎn)還可能蔓延至企業(yè)網(wǎng)絡(luò)，造成更廣泛的影響。

Winos4.0 完整攻擊鏈

1.Fortinet敲響警鐘：注意加速和優(yōu)化的“甜蜜陷阱”

你是否經(jīng)常在游戲中遇到那些誘人的廣告鏈接，承諾“讓你的游戲速度飆升300%”或“一鍵優(yōu)化，告別卡頓”？或許在尋找心儀游戲的下載鏈接時(shí)，你曾點(diǎn)擊過那些不太熟悉的網(wǎng)站。但請(qǐng)注意，這些看似誘人的承諾可能是黑客設(shè)下的“甜蜜陷阱”。滿懷期待地點(diǎn)擊下載時(shí)，你可能已經(jīng)不知不覺地踏入了危險(xiǎn)的領(lǐng)地。

對(duì)于游戲愛好者而言，下載和安裝心儀的游戲或加速器是日常操作。然而，這個(gè)簡(jiǎn)單的行為卻可能成為黑客攻擊的突破口。Winos4.0木馬正是利用了玩家的這一習(xí)慣，通過偽裝成游戲優(yōu)化工具、速度助推器或安裝程序等虛假應(yīng)用程序，誘使玩家下載并運(yùn)行。一旦這些惡意程序在你的電腦上扎根，它們就會(huì)無聲無息地開啟后門，將你的電腦變成黑客操控的“肉雞”。

BYOD模式的興起，使得個(gè)人設(shè)備成為我們工作和生活的“萬能鑰匙”。這無疑為黑客提供了更多的攻擊機(jī)會(huì)。他們不僅能夠輕易竊取個(gè)人信息，還能進(jìn)一步侵犯工作資料，甚至對(duì)我們的設(shè)備進(jìn)行監(jiān)控和操控。這種安全隱患不僅威脅個(gè)人隱私，還可能對(duì)工作造成嚴(yán)重影響。

2.Winos4.0木馬：熱門游戲的隱秘威脅

FortiGuard Labs 的最新研究揭示了Winos4.0木馬的多種偽裝手法，這些手法專門針對(duì)熱門游戲玩家。以下是已知的木馬變種：

l《英雄聯(lián)盟》優(yōu)化程序

l《夢(mèng)幻西游》更新程序

l《天諭》手動(dòng)更新工具和客戶端檢測(cè)工具

l《反恐行動(dòng)》客戶端修復(fù)程序

l《天下》CrashReporter

l戰(zhàn)盟安裝程序

l勁舞團(tuán)聯(lián)合登錄器

專門針對(duì)熱門游戲玩家

這些木馬對(duì)玩家的影響深遠(yuǎn)且嚴(yán)重：

l游戲賬號(hào)安全威脅：黑客通過木馬的控制端，可以遠(yuǎn)程操控玩家的設(shè)備，竊取游戲賬號(hào)和密碼，導(dǎo)致玩家的游戲進(jìn)度、裝備、虛擬貨幣等被盜取或損壞。

l個(gè)人信息泄露風(fēng)險(xiǎn)：一旦設(shè)備被控制，黑客也有可能進(jìn)一步竊取玩家的個(gè)人信息，如姓名、地址、電話號(hào)碼等，這些信息可能被用于非法交易、詐騙或其他惡意活動(dòng)。

l設(shè)備安全與隱私威脅：木馬還具有監(jiān)控和操控設(shè)備的功能，黑客可以通過木馬獲取玩家的設(shè)備信息、位置信息、攝像頭權(quán)限等，對(duì)玩家的設(shè)備進(jìn)行實(shí)時(shí)監(jiān)控和操控，對(duì)玩家的個(gè)人隱私和安全造成嚴(yán)重影響。

3.攻擊鏈分析：Winos4.0木馬如何入侵

Winos4.0木馬是一款高級(jí)惡意框架，它通過多個(gè)模塊化組件協(xié)同工作，實(shí)現(xiàn)了對(duì)受感染計(jì)算機(jī)的全面控制。下面，我們將從攻擊鏈的角度，對(duì)Winos4.0木馬的傳播和攻擊過程進(jìn)行深入剖析。

初始訪問：黑客通過分發(fā)專為優(yōu)化或安裝而設(shè)計(jì)的游戲相關(guān)惡意應(yīng)用程序，實(shí)現(xiàn)初始訪問。這些應(yīng)用程序通常偽裝成游戲優(yōu)化工具、速度助推器或安裝程序等，誘導(dǎo)玩家下載并運(yùn)行。

惡意文件下載：受害者設(shè)備運(yùn)行這些惡意應(yīng)用程序后，會(huì)通過黑客架設(shè)的服務(wù)器下載偽裝成BMP圖片的文件。這些文件實(shí)際上是經(jīng)過XOR算法編碼的惡意DLL文件。

使用XOR 解碼“t5d.tmp”并注入惡意代碼 shellcode

惡意DLL文件加載：下載的惡意DLL文件通過其導(dǎo)出函數(shù)加載到系統(tǒng)中，以啟動(dòng)下一攻擊階段。這些DLL文件可能會(huì)修改系統(tǒng)注冊(cè)表、創(chuàng)建計(jì)劃任務(wù)等，以實(shí)現(xiàn)持久化感染。

將登錄模塊保存至注冊(cè)表

Shellcode注入：在惡意DLL文件加載后，它會(huì)注入惡意代碼shellcode到受感染環(huán)境中。這些shellcode具有動(dòng)態(tài)加載API、檢索配置數(shù)據(jù)、與C2服務(wù)器建立連接等功能。

注冊(cè)表中保存的C2 服務(wù)器信息

模塊下載與執(zhí)行：一旦與C2服務(wù)器建立連接，Winos4.0木馬就會(huì)從服務(wù)器上下載并執(zhí)行各種惡意模塊。這些模塊包括登錄模塊、上線模塊、差異屏幕捕捉模塊、文件管理模塊等，它們共同構(gòu)成了Winos4.0木馬的攻擊體系。

監(jiān)控和記錄剪貼板內(nèi)容

4.Fortinet防御策略：讓網(wǎng)絡(luò)安全無界

FortiGuard Antivirus的攔截：Fortinet的FortiGuard Antivirus成功檢測(cè)并攔截了Winos4.0木馬及其相關(guān)組件。FortiGate、FortiMail、FortiClient和FortiEDR均支持FortiGuard AntiVirus服務(wù)，確保已部署這些產(chǎn)品并更新至最新版本的用戶不會(huì)受到此類惡意軟件的影響。

FortiGuard Web過濾服務(wù)的阻斷：FortiGuard Web過濾服務(wù)成功攔截C2服務(wù)器并下載URL，防止惡意軟件的進(jìn)一步傳播。

Fortinet的安全培訓(xùn)與認(rèn)證：Fortinet提供免費(fèi)的Fortinet Certified Fundamentals（FCF）網(wǎng)絡(luò)安全認(rèn)證課程，幫助用戶了解如何精準(zhǔn)識(shí)別和保護(hù)自身免受網(wǎng)絡(luò)釣魚攻擊。

FortiGuard IP Reputation和Anti-Botnet Security Service：FortiGuard IP Reputation和Anti-Botnet Security Service通過匯聚并關(guān)聯(lián)源自Fortinet分布式網(wǎng)絡(luò)威脅傳感器、CERT、MITRE攻擊框架、合作友商以及其他全球聯(lián)盟協(xié)作伙伴的惡意源IP數(shù)據(jù)，主動(dòng)攔截此類攻擊活動(dòng)，并為用戶提供有關(guān)惡意來源的前沿威脅情報(bào)。

Winos4.0木馬的威脅極為嚴(yán)峻，它不僅侵害玩家設(shè)備安全，更可能引發(fā)更廣泛且嚴(yán)重的威脅擴(kuò)散。面對(duì)此威脅，用戶需高度警覺，及時(shí)更新防護(hù)軟件，并遵循官方安全指引，在享受游戲的同時(shí)，確保個(gè)人數(shù)字安全。Fortinet依托其security fabric平臺(tái)的原生協(xié)同產(chǎn)品與方案，在網(wǎng)絡(luò)各層面提供全面防護(hù)，有效應(yīng)對(duì)已知及未知威脅，實(shí)現(xiàn)無界網(wǎng)絡(luò)安全。