WinDealer

Mniej znana chińskojęzyczna grupa cyberprzestępcza przeprowadza operacje ataków, które rozmieszczają złośliwe oprogramowanie kradnące informacje na złamanych urządzeniach. Hakerzy z grupy LuoYu przechwytują aktualizacje legalnych aplikacji i zamieniają je na złośliwe ładunki w ramach tak zwanych ataków typu man-on-the-side. Aby infekcja powiodła się, cyberprzestępcy aktywnie monitorują ruch sieciowy wybranych ofiar. Gdy zostanie zauważona prośba o aktualizację aplikacji związaną z popularnymi produktami oprogramowania na rynku azjatyckim, takimi jak QQ, Wanga Wang lub WeChat, hakerzy LuoYu zastępują je instalatorami złośliwego oprogramowania WInDealer.

Po uruchomieniu w systemie Windows ofiary, WinDealer umożliwi atakującym wykonanie szerokiej gamy natrętnych i złośliwych działań. Jedna z podstawowych funkcji zagrożenia jest związana z przechwytywaniem, a następnie eksfiltracją poufnych i wrażliwych danych. Jednak hakerzy mogą również polegać na WinDealer, aby zainstalować bardziej wyspecjalizowane zagrożenia typu backdoor, aby zagwarantować ich trwałość na urządzeniu. WinDealer może manipulować systemem plików, skanować w poszukiwaniu dodatkowych urządzeń podłączonych do tej samej sieci lub uruchamiać dowolne polecenia.

Szczególną cechą zagrożenia jest sposób, w jaki komunikuje się z serwerem Command-and-Control (C2, C&C). Zamiast korzystać z zakodowanego na stałe serwera C2, cyberprzestępcy z LuoYu stworzyli pulę 48 000 adresów IP z chińskich prowincji Xizang i Guizhou. Zagrożenie połączy się z losowym adresem IP ChinaNET (AS4134) z tej puli. Badacze cyberbezpieczeństwa z firmy Kaspersky, którzy ujawnili szczegóły dotyczące LuoYu i WinDealer, uważają, że hakerzy są w stanie wykorzystać taką technikę dzięki dostępowi do skompromitowanych routerów wewnątrz AS4134 lub wykorzystaniu narzędzi egzekwowania prawa na poziomie dostawcy usług internetowych. Inną możliwością jest to, że cyberprzestępcy dysponują metodami wewnętrznymi, które wciąż są nieznane ogółowi społeczeństwa.