新兴 Winos4.0 恶意软件框架对 Windows 系统的威胁

关键要点

• Winos4.0 恶意软件通过假冒游戏相关应用程序（如加速器、安装工具和优化工具）攻击 Windows 系统。
• 该恶意软件与 Sliver 和 Cobalt Strike 相似，利用虚假的 BMP 文件进行攻击，最终提取 “you.dll” 文件，实现各种恶意功能。
• Winos4.0 基于中国的远程访问木马 Gh0stRat，具有先进的模块化功能，可能允许设备被完全接管。
• 建议组织禁止在工作站下载应用程序，并提醒用户避免从第三方应用商店下载，以及在下载新文件后定期扫描设备。

近期，Winos4.0 恶意软件框架通过伪装成游戏应用程序（如速度提升工具、安装软件和优化工具）对 Windows 系统发起了攻击。根据 Fortinet的 FortiGuard Labs 的报告，Winos4.0 的攻击策略与 Sliver 和 Cobalt Strike 十分相似，首先会下载一个虚假的
BMP 文件，随之提取 “you.dll” 文件。此文件的作用是下载其他文件，以便安装 API 加载 shellcode，并发起 DLL文件，这些文件能进行崩溃重启、记录剪贴板内容、收集系统信息、监控加密钱包扩展和防病毒应用程序。

Winos4.0 框架源自于中国的远程访问木马
Gh0stRat，展现出先进的模块化能力，这意味着该恶意软件有能力接管设备。为了提高安全性，企业被建议禁止在工作站下载任何应用程序。同时，用户也被敦促避免从不可信的第三方应用商店进行下载，并在每次下载新文件后定期进行设备扫描，以确保系统安全。

威胁内容 | 描述
—|—
恶意软件类型 | Winos4.0
攻击途径 | 假冒游戏相关应用程序
关键功能 | 崩溃重启、剪贴板内容记录、信息收集等
源代码 | 基于 Gh0stRat
银行/加密钱包监控 | 是

安全专家建议用户在下载新文件后，定期检查设备并保持警惕，以保护自己的系统免受 Winos4.0 等恶意软件的攻击。