Depuis février, des pirates diffusent un malware baptisé Winos 4.0 en s’appuyant sur de faux installateurs de logiciels connus. L’attaque repose sur une chaîne technique bien structurée, pensée pour contourner antivirus et autres protections intégrées au système.
- Depuis février, des pirates exploitent de faux logiciels comme LetsVPN pour diffuser le malware furtif Winos 4.0.
- Winos 4.0 s'exécute discrètement en mémoire, rendant sa détection difficile malgré l'utilisation de certificats périmés.
- Une prévention efficace inclut la prudence avec les installateurs et la vigilance face aux activités réseau inhabituelles.
LetsVPN, QQBrowser… Les noms choisis ne doivent rien au hasard. En se faisant passer pour des logiciels populaires, les pirates jouent la carte de la familiarité. Derrière ces installateurs, pourtant, c’est un tout autre programme qui s'exécuté. Identifiée par Rapid7, la campagne s’appuie sur un loader furtif injecté directement en mémoire, qui établit une connexion vers des serveurs distants pour récupérer Winos 4.0. Ce malware modulaire, lié au groupe Silver Fox, avait déjà été observé dans le passé, mais il est aujourd’hui distribué via une chaîne d’infection repensée, capable de tromper la majorité des outils de sécurité actuels.
Des installateurs piégés pour déployer un malware en mémoire
Documenté pour la première fois fin 2024, Winos 4.0 repose sur une architecture modulaire exécutée intégralement en mémoire, ce qui rend sa détection particulièrement difficile.
L’infection commence par un installateur NSIS modifié, distribué sous couvert d’un navigateur (QQBrowser) ou d’un VPN populaire (LetVPN). Le fichier contient un exécutable signé avec un certificat associé à Tencent, qui, bien que périmé depuis 2020, suffit à contourner certaines vérifications basiques et à brouiller les pistes.
Une commande PowerShell est ensuite exécutée pour ajouter des exclusions dans Microsoft Defender, réduisant ainsi son efficacité sans le désactiver totalement. Un premier binaire injecte alors en mémoire une DLL réflexive via un fichier de configuration contenant du shellcode. Pour finir, cette DLL établit une connexion vers un serveur distant afin de récupérer une seconde DLL réflexive, correspondant à Winos 4.0.
Une fois récupéré, le malware s’exécute en mémoire, déclenche ses modules à la demande, et peut rester inactif plusieurs jours, en fonction des instructions reçues. Sans grande surprise, il permet d’exécuter des commandes à distance, de collecter des données ou de manipuler le système pour lancer des attaques réseau, sans interaction visible. Évidemment, aucun processus suspect n’apparaît dans la liste des applications, de même qu’aucun comportement ne trahit sa présence, à moins d’une surveillance active de la mémoire ou du trafic réseau sortant.
Depuis février, Rapid7 a identifié plusieurs variantes de cette chaîne d’infection. Les différences portent sur des éléments marginaux – noms d’exécutables, niveau d’obfuscation, emplacement des scripts – mais l’infrastructure de commande, la séquence technique et la modularité de la charge utile restent les mêmes d’un échantillon à l’autre.
Le code intègre par ailleurs une vérification de langue système, inactive à ce stade, mais révélatrice d’un ciblage centré sur les environnements sinophones. Rapid7 attribue clairement cette campagne au groupe APT Silver Fox, déjà identifié pour des opérations similaires utilisant de faux installateurs VPN ciblant des publics chinois.
Que faire pour éviter une infection Winos 4.0
On l’a vu, l’exécution en mémoire limite fortement les traces laissées par Winos 4.0, même si certains fichiers annexes (scripts, tâches planifiées ou configurations) persistent parfois. Les antivirus seuls peuvent donc avoir du mal à détecter la menace.
Les rares signes d’infection passent principalement par une analyse réseau ou par une inspection manuelle du système. Toute activité sortante inhabituelle, en particulier vers des domaines peu référencés ou des adresses IP hors zone, doit vous mettre la puce à l’oreille. D’autres indices peuvent également trahir une infection, comme des exclusions antivirus modifiées, des tâches planifiées anormales, ou des processus chargés en mémoire sans exécutable associé.
Reste la prévention : ne jamais exécuter un installeur récupéré via un lien partagé, une messagerie tierce ou une source non vérifiée, même s’il porte un nom familier ou une signature connue.
Source : Rapid7
