Licenze multi-dispositivo (sconti per quantità)
Threat Database Advanced Persistent Threat (APT) WinDealer

WinDealer

Entro Mezo nel Advanced Persistent Threat (APT), Stealers
Traduci in:
Italiano

Un gruppo di criminali informatici di lingua cinese meno noto sta effettuando operazioni di attacco che distribuiscono un malware per il furto di informazioni sui dispositivi violati. Gli hacker del gruppo LuoYu intercettano gli aggiornamenti per le app legittime e li scambiano con payload dannosi in quelli che sono noti come attacchi man-on-the-side. Affinché l'infezione abbia successo, gli attori delle minacce monitorano attivamente il traffico di rete delle vittime prescelte. Quando viene rilevata una richiesta di aggiornamento dell'app relativa a prodotti software popolari nel mercato asiatico come QQ, Wanga Wang o WeChat, gli hacker LuoYu li sostituiscono con gli installer per il malware WInDealer.

Dopo essere stato eseguito sul sistema Windows della vittima, WinDealer consentirà agli aggressori di eseguire un'ampia gamma di azioni intrusive e dannose. Una delle funzionalità primarie della minaccia è legata alla raccolta e alla successiva esfiltrazione di dati riservati e sensibili. Tuttavia, gli hacker possono anche fare affidamento su WinDealer per installare minacce backdoor più specializzate al fine di garantire la loro persistenza sul dispositivo. WinDealer può manipolare il file system, cercare dispositivi aggiuntivi collegati alla stessa rete o eseguire comandi arbitrari.

Una caratteristica peculiare della minaccia è il modo in cui comunica con il suo server Command-and-Control (C2, C&C). Invece di utilizzare un server C2 hardcoded, i criminali informatici LuoYu hanno creato un pool di 48.000 indirizzi IP dalle province cinesi di Xizang e Guizhou. La minaccia si connetterà a un indirizzo IP ChinaNET (AS4134) casuale da quel pool. I ricercatori di sicurezza informatica di Kaspersky che hanno rilasciato i dettagli su LuoYu e WinDealer ritengono che gli hacker siano in grado di utilizzare una tale tecnica grazie all'accesso a router compromessi all'interno di AS4134 o utilizzando strumenti delle forze dell'ordine a livello di ISP. Un'altra possibilità è che gli attori delle minacce dispongano di metodi interni ancora sconosciuti al grande pubblico.

Tendenza

I più visti

Caricamento in corso...