Les cybercriminels s’en prennent désormais aux « gamers » sur PC en les ciblant spécifiquement à l’aide d’un nouveau framework cybermalveillant dénommé « Winos 4.0 ».
Selon différents experts en sécurité à commencer par ceux de Trend Micro, une nouvel acteur de la menace semble s’attaquer plus particulièrement aux joueurs PC particulièrement en Asie. Ce nouvel acteur assure la propagation d’un nouveau logiciel malveillant, Winos 4.0, un malware sophistiqué qui se dissimule dans des applications recherchées par les gamers (outils d’optimisation, cheaters, etc.) mais que se cache également dans des clients VPN, des packs linguistiques chinois, des générateurs IA pornographiques, etc. Apparemment, Winos 4.0 dériverait du tristement célèbre Gh0st RAT dont il reprend plusieurs fonctionnalités.
Le mécanisme d’infection se déploie en plusieurs étapes. Après l’installation d’une application compromise, le malware télécharge un fichier BMP apparemment inoffensif depuis un serveur distant. Ce fichier déclenche ensuite une séquence d’actions aboutissant au déploiement d’une bibliothèque dynamique (DLL) malveillante. L’analyse menée par FortiGuard Labs révèle que Winos 4.0 établit sa présence sur le système en créant des clés de registre et des tâches planifiées. Le malware télécharge et exécute ensuite plusieurs modules permettant une prise de contrôle approfondie du système infecté.
Une fois installé, Winos 4.0 agit comme une porte dérobée (backdoor), offrant aux attaquants un contrôle étendu sur le système compromis. Ses fonctionnalités qu’il offre aux cyberattaquants incluent la gestion de fichiers, l’exécution de commandes à distance, la capture d’écran, l’enregistrement des frappes au clavier (keylogging), la surveillance du presse-papiers, la collecte des informations systèmes, l’inspection des extensions de portefeuilles crypto, l’exfiltration de documents ainsi que le contrôle de la webcam et du microphone. De plus, il peut mener des attaques par déni de service distribué (DDoS) et injecter des processus malveillants dans le système.
Les cybercriminels exploitent diverses techniques pour propager Winos 4.0, notamment l’empoisonnement des moteurs de recherche (SEO poisoning), l’utilisation de plateformes de médias sociaux et de messagerie comme Telegram, ainsi que la distribution de logiciels compromis via des canaux thématiques en langue chinoise. Cette approche ciblée vise spécifiquement les utilisateurs sinophones, en capitalisant sur leur intérêt pour des applications populaires et des technologies émergentes. Certains indices, comme la présence de noms de fichiers faisant référence à des « systèmes d’inscription étudiante », suggèrent que les établissements éducatifs pourraient être particulièrement ciblés.
Les experts de Fortinet comparent Winos 4.0 à des frameworks malveillants puissants comme Cobalt Strike et Sliver. Ils recommandent aux utilisateurs de faire preuve d’une vigilance accrue lors du téléchargement d’applications liées aux jeux et de privilégier systématiquement les sources officielles et vérifiées à commencer par le Microsoft Store.