Depuis février, des pirates diffusent un malware baptisé Winos 4.0 en s’appuyant sur de faux installateurs de logiciels connus. L’attaque repose sur une chaîne technique bien structurée, pensée pour contourner antivirus et autres protections intégrées au système.
LetsVPN, QQBrowser… Les noms choisis ne doivent rien au hasard. En se faisant passer pour des logiciels populaires, les pirates jouent la carte de la familiarité. Derrière ces installateurs, pourtant, c’est un tout autre programme qui s'exécuté. Identifiée par Rapid7, la campagne s’appuie sur un loader furtif injecté directement en mémoire, qui établit une connexion vers des serveurs distants pour récupérer Winos 4.0. Ce malware modulaire, lié au groupe Silver Fox, avait déjà été observé dans le passé, mais il est aujourd’hui distribué via une chaîne d’infection repensée, capable de tromper la majorité des outils de sécurité actuels.
