WinDealer
یک گروه مجرم سایبری کمتر شناخته شده چینی زبان در حال انجام عملیات های حمله ای است که یک بدافزار سرقت اطلاعات را روی دستگاه های نفوذ شده مستقر می کند. هکرهای گروه LuoYu بهروزرسانیهای برنامههای قانونی را رهگیری میکنند و آنها را با بارهای مخرب در آنچه به عنوان حملات Man-on-the-side شناخته میشود، تغییر میدهند. برای موفقیت آمیز بودن عفونت، عوامل تهدید به طور فعال ترافیک شبکه قربانیان انتخابی خود را زیر نظر دارند. هنگامی که درخواستی برای به روز رسانی برنامه مربوط به محصولات نرم افزاری محبوب در بازار آسیا مانند QQ، Wanga Wang یا WeChat مشاهده می شود، هکرهای LuoYu آنها را با نصب کننده ها جایگزین بدافزار WInDealer می کنند.
پس از اجرا در سیستم ویندوز قربانی، WinDealer به مهاجمان اجازه می دهد تا طیف گسترده ای از اقدامات مزاحم و مخرب را انجام دهند. یکی از عملکردهای اولیه تهدید مربوط به برداشت و پس از آن استخراج داده های محرمانه و حساس است. با این حال، هکرها همچنین میتوانند به WinDealer برای نصب تهدیدات درب پشتی تخصصیتر به منظور تضمین ماندگاری آنها بر روی دستگاه اعتماد کنند. WinDealer می تواند سیستم فایل را دستکاری کند، دستگاه های اضافی متصل به همان شبکه را اسکن کند یا دستورات دلخواه را اجرا کند.
یکی از ویژگیهای عجیب این تهدید، نحوه ارتباط آن با سرور فرماندهی و کنترل (C2, C&C) است. مجرمان سایبری LuoYu به جای استفاده از سرور C2 با کد سخت، مجموعه ای از 48000 آدرس IP از استان های Xizang و Guizhou چین ایجاد کرده اند. تهدید به یک آدرس IP تصادفی ChinaNET (AS4134) از میان آن استخر متصل می شود. محققان امنیت سایبری در Kaspersky که جزئیات مربوط به LuoYu و WinDealer را منتشر کردند، معتقدند که هکرها به لطف دسترسی به روترهای در معرض خطر در داخل AS4134 یا با استفاده از ابزارهای اجرای قانون در سطح ISP، قادر به استفاده از چنین تکنیکی هستند. احتمال دیگر این است که عوامل تهدید روش های داخلی داشته باشند که هنوز برای عموم مردم ناشناخته است.