WinDealer

Manje poznata skupina kibernetičkih kriminalaca provodi operacije napada kojima se na provaljene uređaje postavlja zlonamjerni softver za krađu informacija. Hakeri iz grupe LuoYu presreću ažuriranja za legitimne aplikacije i zamjenjuju ih zlonamjernim sadržajem u onome što je poznato kao napadi čovjeka na strani. Kako bi zaraza bila uspješna, akteri prijetnje aktivno prate mrežni promet svojih odabranih žrtava. Kada se primijeti zahtjev za ažuriranjem aplikacije koji se odnosi na popularne softverske proizvode na azijskom tržištu kao što su QQ, Wanga Wang ili WeChat, LuoYu hakeri ih zamjenjuju instalaterima zlonamjernog softvera WInDealer.

Nakon što se izvrši na Windows sustavu žrtve, WinDealer će omogućiti napadačima da izvedu širok raspon nametljivih i zlonamjernih radnji. Jedna od primarnih funkcionalnosti prijetnje odnosi se na prikupljanje i naknadnu eksfiltraciju povjerljivih i osjetljivih podataka. Međutim, hakeri se također mogu osloniti na WinDealer da instalira specijaliziranije backdoor prijetnje kako bi zajamčili njihovu postojanost na uređaju. WinDealer može manipulirati datotečnim sustavom, skenirati dodatne uređaje spojene na istu mrežu ili izvoditi proizvoljne naredbe.

Jedna osebujna karakteristika prijetnje je način na koji komunicira sa svojim Command-and-Control (C2, C&C) poslužiteljem. Umjesto korištenja tvrdo kodiranog C2 poslužitelja, kibernetički kriminalci LuoYu stvorili su skup od 48.000 IP adresa iz kineskih provincija Xizang i Guizhou. Prijetnja će se spojiti na slučajnu IP adresu ChinaNET (AS4134) iz tog skupa. Istraživači kibernetičke sigurnosti u Kasperskyju koji su objavili detalje o LuoYu i WinDealeru vjeruju da su hakeri sposobni koristiti takvu tehniku zahvaljujući pristupu kompromitiranim usmjerivačima unutar AS4134 ili korištenjem alata za provođenje zakona na razini ISP-a. Druga mogućnost je da akteri prijetnji imaju interne metode koje su još uvijek nepoznate široj javnosti.