Llicències per a diversos dispositius (descomptes per volum)
Threat Database Advanced Persistent Threat (APT) WinDealer

WinDealer

El Mezo el Advanced Persistent Threat (APT), Stealers
Traduir a:
Català

Un grup cibercriminal de parla xinesa menys conegut està duent a terme operacions d'atac que despleguen un programari maliciós per robar informació als dispositius violats. Els pirates informàtics del grup LuoYu intercepten les actualitzacions d'aplicacions legítimes i les canvien amb càrregues útils malicioses en el que es coneix com a atacs d'home-on-the-side. Perquè la infecció tingui èxit, els actors de l'amenaça controlen activament el trànsit de xarxa de les víctimes escollides. Quan s'observa una sol·licitud d'actualització d'una aplicació relacionada amb productes de programari populars al mercat asiàtic, com ara QQ, Wanga Wang o WeChat, els pirates informàtics de LuoYu les substitueixen pels instal·ladors del programari maliciós WInDealer.

Quan s'executa al sistema Windows de la víctima, WinDealer permetrà als atacants realitzar una àmplia gamma d'accions intrusives i malicioses. Una de les funcionalitats principals de l'amenaça està relacionada amb la recollida i posterior exfiltració de dades confidencials i sensibles. Tanmateix, els pirates informàtics també poden confiar en WinDealer per instal·lar amenaces de porta posterior més especialitzades per garantir la seva persistència al dispositiu. WinDealer pot manipular el sistema de fitxers, buscar dispositius addicionals connectats a la mateixa xarxa o executar ordres arbitràries.

Una característica peculiar de l'amenaça és la forma en què es comunica amb el seu servidor de comandament i control (C2, C&C). En lloc d'utilitzar un servidor C2 codificat en dur, els cibercriminals LuoYu han creat un conjunt de 48.000 adreces IP de les províncies xineses de Xizang i Guizhou. L'amenaça es connectarà a una adreça IP aleatòria de ChinaNET (AS4134) d'aquest grup. Els investigadors de ciberseguretat de Kaspersky que van publicar els detalls sobre LuoYu i WinDealer creuen que els pirates informàtics són capaços d'utilitzar aquesta tècnica gràcies a tenir accés a encaminadors compromesos dins d'AS4134 o utilitzant eines d'aplicació de la llei a nivell d'ISP. Una altra possibilitat és que els actors de l'amenaça tinguin mètodes interns que encara són desconeguts pel públic en general.

Tendència

Més vist

Carregant...