Dalam sebuah laporan terbaru, hacker masih memanfaatkan gamer untuk menyebarkan malware Winos4.0 untuk menyerang perangkat pengguna.
Pada sebuah laporan terbaru, penjahat siber ternyata dilaporkan masih mengincar para gamers untuk menyusupkan kode berbahaya ke perangkat pengguna. Hal ini wajar, mengingat masih banyak gamers yang memilih untuk menggunakan game bajakan untuk mereka nikmati.
Laporan tersebut menyatakan bahwa penjahat siber menyusupkan malware berbahaya bernama Winos4.0 ke sistem Windows melalui game. Malware ini memberikan penyerang kendali penuh atas perangkat yang terinfeksi.
Dilansir dari laman The register (8/11), menurut laporan Fortinet, malware ini merupakan versi rekonstruksi dari Gh0strat dan hadir dalam beberapa komponen yang menangani fungsi berbeda. Malware ini juga disebut mirip dengan alat red-teaming seperti Cobalt Strike dan Sliver yang sering dimanfaatkan untuk serangan siber.
Malware ini ditemukan tersembunyi di dalam alat instalasi game, penguat kecepatan, dan utilitas pengoptimalan. Winos4.0 menjadi ancaman yang signifikan karena memungkinkan pelaku untuk menyebarkan ransomware, spionase siber, dan gerakan lateral di dalam jaringan korban.
Salah satu kelompok yang terlibat dalam penyebaran malware ini, yang dikenal sebagai Silver Fox, diduga memiliki keterkaitan dengan pemerintah Tiongkok.
Laporan ini juga menyebut serangan dimulai dengan umpan menggunakan game bajakan, di mana aplikasi yang dijalankan korban mengunduh file BMP palsu dari domain tertentu. File ini kemudian memulai proses infeksi yang mencakup empat tahap berbahaya.
Tahap pertama melibatkan file DLL yang menyiapkan lingkungan eksekusi, menyuntikkan shellcode, dan memastikan malware tetap berjalan dengan persistensi.
Pada tahap kedua, shellcode memuat API, mengambil alamat server perintah dan kontrol (C2), dan membangun komunikasi dengan server penyerang. File DLL bernama “学籍系统” yang berarti “sistem pendaftaran siswa” menunjukkan bahwa serangan mungkin menargetkan organisasi di sektor pendidikan, mengindikasikan bahwa penyerang memilih target dengan cermat.
Selanjutnya, file DLL yang disebut “上线模块” mengunduh data terenkripsi dari server C2 dan menyimpannya dalam registri sistem Windows, yang menciptakan pintu masuk bagi komunikasi lebih lanjut. Fortinet memperingatkan bahwa serangan semacam ini melibatkan banyak data terenkripsi serta komunikasi C2 yang kompleks, menjadikannya ancaman serius bagi pengguna.
Pada tahap akhir, file DLL “登录模块” berisi muatan utama yang melakukan berbagai aktivitas berbahaya. Aktivitas tersebut termasuk pengumpulan informasi tentang perangkat yang terinfeksi, seperti alamat IP, spesifikasi sistem, dan data penting lainnya.
Malware ini juga dapat mengambil tangkapan layar, mencuri dokumen, memantau aktivitas pengguna, serta mencuri informasi dompet kripto.
Untuk memastikan peretas dapat bertahan lama berada di perangkat korban, Winos4.0 membangun backdoor yang terhubung ke server C2. Serangan ini menunjukkan pentingnya kewaspadaan dalam mengunduh aplikasi, terutama dari sumber yang tidak resmi.
Pengguna disarankan untuk selalu memverifikasi sumber aplikasi dan menghindari mengunduh perangkat lunak dari situs yang tidak terpercaya untuk mengurangi risiko infeksi.