ProtektNet Consulting Services
Contáctanos vía WhatsApp

+52 81 1824 2222

ProtektNet Consulting Services
Logo-ProtektNet-1
Contáctanos vía WhatsApp

+52 81 1824 2222

ProtektNet Consulting Services
winos4.0
30/05/2025

Hackers utilizan instaladores de navegadores y VPN falsos para distribuir el malware Winos4.0

Investigadores de ciberseguridad descubrierón una campaña de malware que utiliza instaladores de software falsos haciendose pasar por herramientas populares como LetsVPN y QQ Browser para distribuir el framework Winos4.0 mediante Catena

¿Winos4.0?

También conocido como ValleyRAT fue publicado por Trend Micro en junio de 2024 como utilizado en ataques dirigidos a usuarios de habla china mediante archivo maliciosos de Windows Installer (MSI) para aplicaciones VPN. La actividad se ha atribuido a un clúster de amenazas que rastrea como Void Arachne, también conocido como Silver Fox.

 

Winos4.0, está construido sobre las bases de un conocido troyano de acceso remoto llamado Gh0st RAT, es un framework malicioso avanzado escrito en C++, que utiliza un sistema basado en complementos para recopilar datos, proporcionar acceso remoto a la shell y lanzar ataques DDoS.

El punto de partida es un instalador NSIS troyanizado que suplanta a un instalador de QQ Browser, un navegador web basado en Chromium desarrollado por Tencent y diseñado para distribuir WinOS 4.0 mediante Catena. El malware se comunica con una infraestructura de comando y control (C2) codificada a través del puerto TCP 18856 y el puerto HTTPS 443.

 

La persistencia en el host se logra registrando tareas programadas que se ejecutan semanas después del ataque inicial. Si bien el malware realiza una comprobación explícita para buscar la configuración del idioma chino en el sistema, continúa con su ejecución incluso si no es así.

A continuación nuestras recomendaciones para este tipo de amenazas.

 Sophos Firewall

Podemos defendernos de estos ataques de malware con las tecnologías de Sophos, que constantemente contienen nuevas actualizaciones para mantenerse al día de nuevos tipos de malware.

PROTECCIÓN WEB:

El motor de protección web de Sophos cuenta con el respaldo de SophosLabs Intelix e incluye innovadoras tecnologías necesarias para identificar y bloquear las últimas amenazas web.

  • Protección web avanzada
  • Protección contra pharming
  • Escaneado de HTTPS
  • Control de aplicaciones no deseadas
  • SophosLabs

Protección contra amenazas activas:

Sophos Firewall ofrece una respuesta inmediata y automatizada a las amenazas y a los adversarios activos para detenerlos en seco y evitar la propagación lateral.

  • Compatible con varios feeds de amenazas, incluidos los de Sophos X-Ops y MDR/XDR
  • Bloquea inmediatamente las amenazas activas sin necesidad de reglas de firewall
  • Utiliza la Seguridad Sincronizada para aislar automáticamente los endpoints administrados y aportar visibilidad

CONTROL WEB:

Visibilidad y control completos sobre todo el tráfico web con herramientas de aplicación flexibles que funcionan según sus necesidades, con opciones de cumplimiento para actividad, cuotas, programaciones y conformado de tráfico según usuarios y grupos.

  • Modelo de políticas de nivel empresarial de puerta de enlace web segura (SWG)
  • Compatibilidad con Sophos DNS Protection
  • Control de actividades basado en plantillas con políticas predefinidas del lugar de trabajo y de cumplimiento
  • Funciones educativas y SafeSearch
  • Imposición de tráfico completa
  • Conformado de tráfico (QoS)

Sophos Intercept X Endpoint

Sophos Intercept X Endpoint proporciona una protección inigualable, ya que detiene los ataques avanzados antes de que afecten a sus sistemas. Las potentes herramientas de detección y respuesta para endpoints y de detección y respuesta ampliadas (EDR/XDR) permiten a su organización buscar, investigar y responder a actividades sospechosas e indicadores de ataque.

REDUCCIÓN DE LA SUPERFICIE DE AMENAZAS

  • Protección web
  • Control web
  • Reputación de descargas
  • Control de aplicaciones
  • Control de periféricos
  • Prevención de fugas de datos
  • Bloqueo de servidor (lista de aplicaciones permitidas)
  • Cifrado completo de disco

 

PREVENCIÓN DE AMENAZAS

  • Protección contra archivos de ransomware (CryptoGuard)
  • Protección contra el ransomware remoto (CryptoGuard)
  • Protección contra el ransomware que ataca el registro de arranque maestro (MBR)
  • Defensas contextuales:
    • Protección adaptativa contra ataques
  • Defensas contextuales:
    • Advertencias de ataques críticos en toda la infraestructura
  • Prevención de malware basada en IA con Deep Learning
  • Escaneado de archivos antimalware
  • Bloqueo de aplicaciones no deseadas (PUA)
  • Búsquedas en la nube de Live Protection
  • Análisis de comportamientos
  • Antiexploits (+60 mitigaciones)
  • Bloqueo de aplicaciones
  • Interfaz de escaneado antimalware (AMSI)
  • Detección de tráfico malicioso
  • Sistema de prevención de intrusiones (IPS)
  • Monitorización de integridad de archivos (servidores)

 

 

Relacionadas

Abuso de Webhooks en n8n para Distribución de Malware mediante Phishing

Abuso de Webhooks en n8n para Distribución de Malware mediante Phishing

Campaña Bloody Wolf

Campaña Bloody Wolf: Uso de NetSupport RAT en Ataques de Spear‑Phishing

Explotación Activa de la Vulnerabilidad Metro4Shell en React Native CLI npm

Explotación Activa de la Vulnerabilidad Metro4Shell en React Native CLI npm

Campaña de malware distribuido a través de mensajes privados de Linkedin

Campaña de malware distribuido a través de mensajes privados de Linkedin

Write A Comment

Trabaja con Nostros

Contáctanos

Envíanos un WhatsApp

81 8625 8220

Monterrey

Atención Comercial: 81 8625 8220
Atención Técnica: 81 8625 8224
Servicios Administrados SOC: 81 8625 8228

CDMX

Atención Comercial: 55 2881 4524
Atención Técnica: 55 2881 4528

© 2021 ProtektNet Consulting S.A. de C.V. Todos los Derechos Reservados