WinDealer

Μια λιγότερο γνωστή κινεζόφωνη ομάδα κυβερνοεγκληματικότητας εκτελεί επιχειρήσεις επίθεσης που αναπτύσσουν ένα κακόβουλο λογισμικό κλοπής πληροφοριών στις συσκευές που έχουν παραβιαστεί. Οι χάκερ από την ομάδα LuoYu παρεμποδίζουν τις ενημερώσεις για νόμιμες εφαρμογές και τις αλλάζουν με κακόβουλα ωφέλιμα φορτία σε αυτό που είναι γνωστό ως επιθέσεις man-on-the-side. Προκειμένου η μόλυνση να είναι επιτυχής, οι φορείς απειλών παρακολουθούν ενεργά την κίνηση δικτύου των επιλεγμένων θυμάτων τους. Όταν παρατηρείται ένα αίτημα για ενημέρωση εφαρμογής που σχετίζεται με δημοφιλή προϊόντα λογισμικού στην ασιατική αγορά, όπως το QQ, το Wanga Wang ή το WeChat, οι χάκερ LuoYu τα αντικαθιστούν με τα προγράμματα εγκατάστασης για το κακόβουλο λογισμικό WInDealer.

Μόλις εκτελεστεί στο σύστημα Windows του θύματος, το WinDealer θα επιτρέψει στους εισβολείς να εκτελέσουν ένα ευρύ φάσμα παρεμβατικών και κακόβουλων ενεργειών. Μία από τις κύριες λειτουργίες της απειλής σχετίζεται με τη συλλογή και την επακόλουθη διήθηση εμπιστευτικών και ευαίσθητων δεδομένων. Ωστόσο, οι χάκερ μπορούν επίσης να βασιστούν στο WinDealer για να εγκαταστήσουν πιο εξειδικευμένες απειλές backdoor προκειμένου να εγγυηθούν την επιμονή τους στη συσκευή. Το WinDealer μπορεί να χειριστεί το σύστημα αρχείων, να σαρώσει για πρόσθετες συσκευές συνδεδεμένες στο ίδιο δίκτυο ή να εκτελέσει αυθαίρετες εντολές.

Ένα ιδιαίτερο χαρακτηριστικό της απειλής είναι ο τρόπος που επικοινωνεί με τον διακομιστή Command-and-Control (C2, C&C). Αντί να χρησιμοποιούν έναν σκληρά κωδικοποιημένο διακομιστή C2, οι κυβερνοεγκληματίες LuoYu έχουν δημιουργήσει μια ομάδα 48.000 διευθύνσεων IP από τις κινεζικές επαρχίες Xizang και Guizhou. Η απειλή θα συνδεθεί με μια τυχαία διεύθυνση IP ChinaNET (AS4134) από αυτήν την ομάδα. Οι ερευνητές κυβερνοασφάλειας της Kaspersky που δημοσίευσαν τις λεπτομέρειες για τους LuoYu και WinDealer πιστεύουν ότι οι χάκερ είναι σε θέση να χρησιμοποιήσουν μια τέτοια τεχνική χάρη στην πρόσβαση σε δρομολογητές συμβιβασμού εντός του AS4134 ή χρησιμοποιώντας εργαλεία επιβολής νόμου σε επίπεδο ISP. Μια άλλη πιθανότητα είναι ότι οι φορείς της απειλής έχουν εσωτερικές μεθόδους που είναι ακόμη άγνωστες στο ευρύ κοινό.