O ataque inicia-se através de e-mails fraudulentos que se fazem passar por comunicações oficiais, como avisos tributários ou atualizações previdenciárias.
Uma campanha cibernética avançada utilizando o malware Winos 4.0 está direcionando ataques contra usuários do Windows em Taiwan e outras regiões de língua chinesa. O ataque inicia-se através de e-mails fraudulentos que se fazem passar por comunicações oficiais, como avisos tributários ou atualizações previdenciárias. Essas mensagens induzem os destinatários a baixar instaladores que aparentam ser de aplicativos legítimos como LetsVPN ou QQBrowser. Na realidade, esses arquivos contêm um carregador multi-etapas residente em memória chamado Catena, responsável por inserir silenciosamente o Winos 4.0 no sistema.
Empresas de segurança como a Fortinet confirmam que esta campanha teve início no começo de 2025. O malware estabelece permanência no sistema, explora privilégios administrativos, comunica-se com servidores de comando e controle ocultos, e executa cargas adicionais para roubo de dados e acesso remoto.
Execução Sigilosa e Permanência no Sistema
O Winos 4.0 emprega uma cadeia de infecção elaborada. A distribuição ocorre via instaladores NSIS que executam comandos PowerShell para desativar o Windows Defender. O carregador Catena é incorporado em arquivos de configuração e shellcode, utilizando injeção reflexiva de DLL para evitar rastros no disco. Analistas da Rapid7 destacam o uso avançado de módulos pelo Catena, incluindo carregadores .ini criptografados e arquivos DLL isca que descriptografam dinamicamente na memória.
A persistência é garantida através de modificações no registro e tarefas agendadas que são ativadas semanas após a infecção inicial. O malware escala privilégios habilitando tokens de depuração, personificando o usuário logado e sequestrando processos confiáveis do sistema. Ele implanta múltiplas cargas DLL para manter acesso à rede, mesmo após reinicializações.
Winos 4.0 Oferece Controle Remoto Completo e Furto de Dados
O Winos 4.0, também conhecido como ValleyRAT, baseia-se no legado do Gh0st RAT e tem como alvo usuários de língua chinesa. Ele conecta-se a servidores controlados pelos atacantes, principalmente em Hong Kong, usando canais criptografados. A estrutura permite acesso remoto via shell, captura de teclas digitadas, capturas de tela, roubo de carteiras de criptomoedas (como MetaMask), exfiltração de dados e ataques DDoS distribuídos através de seu sistema modular de plugins.
Pesquisadores de segurança atribuem a campanha ao grupo Void Arachne (também conhecido como Silver Fox). Suas táticas em evolução agora incluem o uso de certificados digitais expirados para assinar software falso e o deployment de carregadores avançados residentes em memória, demonstrando uma mudança estratégica em direção à espionagem de longo prazo.
Orientações Defensivas Contra o Winos 4.0
Especialistas em cibersegurança alertam que a ameaça é séria e contínua. Os usuários recebem as seguintes recomendações:
- Instalar software apenas de fontes confiáveis e sites oficiais
- Manter atualizados regularmente o Chrome, Windows e definições de antivírus
- Examinar sistemas com ferramentas avançadas capazes de detectar ameaças na memória
- Monitorar modificações incomuns no registro ou em tarefas agendadas
- Educar usuários sobre e-mails de phishing disfarçados de avisos fiscais ou atualizações de software.