WinDealer

Méně známá čínsky mluvící skupina kyberzločinců provádí útočné operace, při kterých na napadená zařízení nasazuje malware kradoucí informace. Hackeři ze skupiny LuoYu zachycují aktualizace pro legitimní aplikace a přepínají je se škodlivými daty, což je známé jako útoky typu man-on-the-side. Aby byla infekce úspěšná, aktéři hrozeb aktivně monitorují síťový provoz svých vybraných obětí. Když je pozorována žádost o aktualizaci aplikace související s oblíbenými softwarovými produkty na asijském trhu, jako je QQ, Wanga Wang nebo WeChat, hackeři LuoYu je nahradí instalačními programy pro malware WInDealer.

Po spuštění v systému Windows oběti umožní WinDealer útočníkům provádět širokou škálu rušivých a škodlivých akcí. Jedna z primárních funkcí hrozby souvisí se sběrem a následnou exfiltrací důvěrných a citlivých dat. Hackeři se však také mohou spolehnout na to, že WinDealer nainstaluje specializovanější hrozby typu backdoor, aby bylo zaručeno jejich přetrvání na zařízení. WinDealer může manipulovat se systémem souborů, vyhledávat další zařízení připojená ke stejné síti nebo spouštět libovolné příkazy.

Jednou ze zvláštních charakteristik hrozby je způsob, jakým komunikuje se svým serverem Command-and-Control (C2, C&C). Namísto použití pevně zakódovaného serveru C2 vytvořili kyberzločinci LuoYu fond 48 000 IP adres z čínských provincií Xizang a Guizhou. Hrozba se připojí k náhodné IP adrese ChinaNET (AS4134) z tohoto fondu. Výzkumníci kybernetické bezpečnosti ze společnosti Kaspersky, kteří zveřejnili podrobnosti o LuoYu a WinDealer, se domnívají, že hackeři jsou schopni použít takovou techniku díky přístupu ke kompromitujícím routerům uvnitř AS4134 nebo díky využití nástrojů pro vymáhání práva na úrovni ISP. Další možností je, že aktéři ohrožení mají interní metody, které jsou široké veřejnosti dosud neznámé.