WinDealer

En mindre kendt kinesisk-talende cyberkriminel gruppe udfører angrebsoperationer, der implementerer en informationstjælende malware på de brudte enheder. Hackerne fra LuoYu-gruppen opsnapper opdateringerne til legitime apps og skifter dem med ondsindet nyttelast i det, der er kendt som mand-på-siden-angreb. For at infektionen skal lykkes, overvåger trusselsaktørerne aktivt netværkstrafikken hos deres udvalgte ofre. Når en anmodning om en appopdatering relateret til populære softwareprodukter på det asiatiske marked som QQ, Wanga Wang eller WeChat observeres, erstatter LuoYu-hackerne dem med installatørerne for WInDealer-malwaren.

Efter at blive henrettet på offerets Windows-system, vil WinDealer give angriberne mulighed for at udføre en bred vifte af påtrængende og ondsindede handlinger. En af truslens primære funktioner er relateret til indsamlingen og efterfølgende eksfiltrering af fortrolige og følsomme data. Hackerne kan dog også stole på, at WinDealer installerer mere specialiserede bagdørstrusler for at garantere deres vedholdenhed på enheden. WinDealer kan manipulere filsystemet, scanne efter yderligere enheder forbundet til det samme netværk eller køre vilkårlige kommandoer.

Et ejendommeligt kendetegn ved truslen er den måde, den kommunikerer med sin Command-and-Control-server (C2, C&C). I stedet for at bruge en hårdkodet C2-server, har LuoYu-cyberkriminelle oprettet en pulje på 48.000 IP-adresser fra de kinesiske provinser Xizang og Guizhou. Truslen vil oprette forbindelse til en tilfældig ChinaNET (AS4134) IP-adresse fra denne pulje. Cybersikkerhedsforskerne hos Kaspersky, som udgav detaljerne om LuoYu og WinDealer, mener, at hackerne er i stand til at bruge en sådan teknik takket være at have adgang til kompromitterende routere inde i AS4134 eller ved at bruge ISP-niveau retshåndhævelsesværktøjer. En anden mulighed er, at trusselsaktørerne har interne metoder, som stadig er ukendte for den brede offentlighed.