Эксперты обнаружили, что хакеры заменяют Sliver и Cobalt Strike на Winos4.0, распространяемый через вредоносные игровые утилиты. Инструмент был замечен летом 2024 года при атаках на китайских пользователей. Хакеры используют поддельные VPN и Chrome, содержащие вредоносный компонент.
После установки легитимной программы с сайта ad59t82g, загружается DLL-файл, запускающий многоэтапный процесс заражения. На первом этапе создаются дополнительные файлы и записи в реестре Windows. На втором этапе загружается шелл-код, устанавливающий соединение с управляющим сервером. На третьем этапе загружается закодированные данные и обновляется адреса серверов.
Исследователи предполагают, что DLL «学籍系统» нацелена на образовательные учреждения. Завершает процесс модуль (登录模块.dll), собирающий информацию о машине жертвы, проверяющий наличие антивирусного ПО, собирающий данные о криптовалютных кошельках, поддерживающий бэкдор-соединение и крадущий данные.
Winos4.0 также проверяет наличие защитных инструментов от различных производителей и корректирует своё поведение в зависимости от их наличия. По мнению Fortinet, Winos4.0 является мощным инструментом для контроля над взломанными системами и близок по функциональности к Cobalt Strike и Sliver.