WinDealer

עד Mezo ב-Advanced Persistent Threat (APT), Stealers

לתרגם ל:

קבוצת פושעי סייבר דוברי סינית פחות מוכרת מבצעת פעולות תקיפה שפורסות תוכנה זדונית גונבת מידע על המכשירים שנפרצו. ההאקרים מקבוצת LuoYu מיירטים את העדכונים עבור אפליקציות לגיטימיות ומחליפים אותם עם מטענים זדוניים במה שמכונה התקפות אדם-על-צד. על מנת שההדבקה תצליח, שחקני האיום עוקבים באופן פעיל אחר תעבורת הרשת של הקורבנות שבחרו. כאשר נצפתה בקשה לעדכון אפליקציה הקשורה למוצרי תוכנה פופולריים בשוק האסייתי כגון QQ, Wanga Wang או WeChat, ההאקרים של LuoYu מחליפים אותם במתקינים עבור התוכנה הזדונית WInDealer.

עם ההוצאה להורג במערכת Windows של הקורבן, WinDealer יאפשר לתוקפים לבצע מגוון רחב של פעולות חודרניות וזדוניות. אחת הפונקציונליות העיקריות של האיום קשורה לקצירה והסילנה לאחר מכן של נתונים סודיים ורגישים. עם זאת, ההאקרים יכולים גם לסמוך על WinDealer כדי להתקין איומים מיוחדים יותר בדלת האחורית על מנת להבטיח את התמדה שלהם במכשיר. WinDealer יכול לתפעל את מערכת הקבצים, לסרוק התקנים נוספים המחוברים לאותה רשת, או להפעיל פקודות שרירותיות.

מאפיין מיוחד של האיום הוא האופן שבו הוא מתקשר עם שרת הפקודה והבקרה שלו (C2, C&C). במקום להשתמש בשרת C2 מקודד קשיח, פושעי הסייבר של LuoYu יצרו מאגר של 48,000 כתובות IP מהמחוזות הסיניים Xizang ו-Guizhou. האיום יתחבר לכתובת IP אקראית של ChinaNET (AS4134) מתוך המאגר הזה. חוקרי אבטחת הסייבר בקספרסקי שפרסמו את הפרטים על LuoYu ו-WinDealer מאמינים שההאקרים מסוגלים להשתמש בטכניקה כזו הודות לגישה לנתבים מתפשרים בתוך AS4134 או על ידי שימוש בכלי אכיפת חוק ברמת ספקיות האינטרנט. אפשרות נוספת היא שלשחקני האיום יש שיטות פנימיות שעדיין לא ידועות לציבור הרחב.

לחפש

שנה אזור

WinDealer

הכנס תגובה

מגמות

Safe Search Eng

MyWallPaper

Grounding Conductor Ransomware

הכי נצפה

האם Lookmovie.io בטוח?

DNS Unlocker

הונאת דוא"ל 'Gek Squad'