विनडीलर

एक कम-ज्ञात चीनी-भाषी साइबर अपराधी समूह हमले के संचालन को अंजाम दे रहा है जो भंग किए गए उपकरणों पर सूचना-चोरी करने वाले मैलवेयर को तैनात करता है। LuoYu समूह के हैकर्स वैध ऐप्स के अपडेट को इंटरसेप्ट करते हैं और उन्हें दुर्भावनापूर्ण पेलोड के साथ स्विच करते हैं जिसे मैन-ऑन-द-साइड हमलों के रूप में जाना जाता है। संक्रमण के सफल होने के लिए, खतरे वाले अभिनेता सक्रिय रूप से अपने चुने हुए पीड़ितों के नेटवर्क ट्रैफ़िक की निगरानी करते हैं। जब एशियाई बाजार में लोकप्रिय सॉफ़्टवेयर उत्पादों जैसे QQ, Wanga Wang, या WeChat से संबंधित ऐप अपडेट के लिए अनुरोध देखा जाता है, तो LuoYu हैकर्स उन्हें WInDealer मैलवेयर के लिए इंस्टॉलर के साथ बदल देते हैं।

पीड़ित के विंडोज सिस्टम पर निष्पादित होने पर, WinDealer हमलावरों को घुसपैठ और दुर्भावनापूर्ण कार्यों की एक विस्तृत श्रृंखला करने की अनुमति देगा। खतरे की प्राथमिक क्रियाओं में से एक गोपनीय और संवेदनशील डेटा की कटाई और उसके बाद के निष्कासन से संबंधित है। हालांकि, हैकर्स डिवाइस पर अपनी दृढ़ता की गारंटी के लिए अधिक विशिष्ट पिछले दरवाजे खतरों को स्थापित करने के लिए WinDealer पर भी भरोसा कर सकते हैं। WinDealer फ़ाइल सिस्टम में हेरफेर कर सकता है, उसी नेटवर्क से जुड़े अतिरिक्त उपकरणों के लिए स्कैन कर सकता है, या मनमानी कमांड चला सकता है।

खतरे की एक अजीबोगरीब विशेषता यह है कि वह अपने कमांड-एंड-कंट्रोल (C2, C & C) सर्वर के साथ कैसे संचार करता है। हार्ड-कोडेड C2 सर्वर का उपयोग करने के बजाय, LuoYu साइबर अपराधियों ने Xizang और Guizhou चीनी प्रांतों से 48,000 IP पतों का एक पूल बनाया है। खतरा उस पूल के बीच से एक यादृच्छिक चाइनानेट (एएस4134) आईपी पते से जुड़ जाएगा। लुओयू और विनडीलर के बारे में विवरण जारी करने वाले कैसपर्सकी के साइबर सुरक्षा शोधकर्ताओं का मानना है कि हैकर्स इस तरह की तकनीक का उपयोग करने में सक्षम हैं क्योंकि AS4134 के अंदर समझौता करने वाले राउटर तक पहुंच या आईएसपी-स्तरीय कानून प्रवर्तन टूल का उपयोग करके। एक और संभावना यह है कि खतरे वाले अभिनेताओं के पास आंतरिक तरीके हैं जो अभी भी आम जनता के लिए अज्ञात हैं।