WinDealer

یک گروه مجرم سایبری کمتر شناخته شده چینی زبان در حال انجام عملیات های حمله ای است که یک بدافزار سرقت اطلاعات را روی دستگاه های نفوذ شده مستقر می کند. هکرهای گروه LuoYu به‌روزرسانی‌های برنامه‌های قانونی را رهگیری می‌کنند و آن‌ها را با بارهای مخرب در آنچه به عنوان حملات Man-on-the-side شناخته می‌شود، تغییر می‌دهند. برای موفقیت آمیز بودن عفونت، عوامل تهدید به طور فعال ترافیک شبکه قربانیان انتخابی خود را زیر نظر دارند. هنگامی که درخواستی برای به روز رسانی برنامه مربوط به محصولات نرم افزاری محبوب در بازار آسیا مانند QQ، Wanga Wang یا WeChat مشاهده می شود، هکرهای LuoYu آنها را با نصب کننده ها جایگزین بدافزار WInDealer می کنند.

پس از اجرا در سیستم ویندوز قربانی، WinDealer به مهاجمان اجازه می دهد تا طیف گسترده ای از اقدامات مزاحم و مخرب را انجام دهند. یکی از عملکردهای اولیه تهدید مربوط به برداشت و پس از آن استخراج داده های محرمانه و حساس است. با این حال، هکرها همچنین می‌توانند به WinDealer برای نصب تهدیدات درب پشتی تخصصی‌تر به منظور تضمین ماندگاری آنها بر روی دستگاه اعتماد کنند. WinDealer می تواند سیستم فایل را دستکاری کند، دستگاه های اضافی متصل به همان شبکه را اسکن کند یا دستورات دلخواه را اجرا کند.

یکی از ویژگی‌های عجیب این تهدید، نحوه ارتباط آن با سرور فرماندهی و کنترل (C2, C&C) است. مجرمان سایبری LuoYu به جای استفاده از سرور C2 با کد سخت، مجموعه ای از 48000 آدرس IP از استان های Xizang و Guizhou چین ایجاد کرده اند. تهدید به یک آدرس IP تصادفی ChinaNET (AS4134) از میان آن استخر متصل می شود. محققان امنیت سایبری در Kaspersky که جزئیات مربوط به LuoYu و WinDealer را منتشر کردند، معتقدند که هکرها به لطف دسترسی به روترهای در معرض خطر در داخل AS4134 یا با استفاده از ابزارهای اجرای قانون در سطح ISP، قادر به استفاده از چنین تکنیکی هستند. احتمال دیگر این است که عوامل تهدید روش های داخلی داشته باشند که هنوز برای عموم مردم ناشناخته است.

پرطرفدار

پربیننده ترین

بارگذاری...