Há um novo alerta para uma ameaça séria à segurança de quem usa sistemas Windows para jogar. Os laboratórios da Fortinet identificaram uma nova campanha com um malware descrito como complexo e sofisticado. O software malicioso, identificado como Winos4.0, chega aos sistemas escondido em aplicações e ferramentas relacionadas com gaming (aplicações, speed boosters ou utilities para otimização, exemplifica-se) descarregadas pelo utilizador.

A Trend Micro já tinha detetado uma framework de ataque equivalente no verão, direcionada sobretudo para utilizadores chineses e escondida em ferramentas que adaptam aplicações e funcionalidades à língua local. A análise da Fortinet revela uma evolução das atividades em torno deste tipo de malware.

O malware atua em várias fases. Logo que a aplicação infetada é instalada pelo utilizador no sistema Windows, um ficheiro de imagem bitmap falso é obtido a partir de um servidor que extrai uma biblioteca de ligação dinâmica, também carregada nos equipamentos afetados.

Neste esquema, a Fortinet mostra como atua o Winos4.0

Cadeia de ataque do Winos4.0
Cadeia de ataque do Winos4.0 créditos: Fortinet

Se todas as fases do ataque forem concluídas com sucesso, o Winos4.0 terá capacidade para recolher diferentes tipos de dados sobre o sistema afetado, como o endereço IP, detalhes do sistema operativo ou CPU. Mais perigosa é a capacidade de procurar informação sobre extensões relacionadas a carteiras de criptomoedas, para recolher informações associadas, ou verificar se existem extensões de antivírus para o Chrome ativas.

Para além disto, o Winos4.0 mantém uma via de comunicação aberta (backdoor) com servidores remotos, que podem enviar comandos para recolher dos sistemas outro tipo de dados. Tem ainda a capacidade de aceder a informação contida em documentos no PC, de captar pequenas imagens dos ficheiros instalados para posterior análise da existência de outras informações de interesse nos sistemas, ou monitorizar alterações no ambiente de trabalho.

A Fortinet descreve o Winos4.0 como um malware bastante avançado, com uma arquitetura altamente estável e uma série de controlos eficazes para endpoints online. A sua atividade nos computadores afetados pode ser altamente silenciosa, mas nem por isso inócua. A grande recomendação vai para uma atenção extra dos utilizadores às aplicações e ferramentas que descarregam e para a verificação atenta de que vêm sempre de fontes seguras.