WinDealer

Kumpulan penjenayah siber berbahasa Cina yang kurang dikenali sedang menjalankan operasi serangan yang menggunakan perisian hasad yang mencuri maklumat pada peranti yang dilanggar. Penggodam daripada kumpulan LuoYu memintas kemas kini untuk apl yang sah dan menukarnya dengan muatan berniat jahat dalam apa yang dikenali sebagai serangan orang di sisi. Agar jangkitan itu berjaya, pelaku ancaman secara aktif memantau trafik rangkaian mangsa pilihan mereka. Apabila permintaan untuk kemas kini apl yang berkaitan dengan produk perisian popular di pasaran Asia seperti QQ, Wanga Wang atau WeChat diperhatikan, penggodam LuoYu menggantikannya dengan pemasang untuk perisian hasad WInDealer.

Setelah dilaksanakan pada sistem Windows mangsa, WinDealer akan membenarkan penyerang melakukan pelbagai tindakan yang mengganggu dan berniat jahat. Salah satu fungsi utama ancaman adalah berkaitan dengan penuaian dan penyusutan seterusnya data sulit dan sensitif. Walau bagaimanapun, penggodam juga boleh bergantung pada WinDealer untuk memasang lebih banyak ancaman pintu belakang khusus untuk menjamin kegigihan mereka pada peranti. WinDealer boleh memanipulasi sistem fail, mengimbas peranti tambahan yang disambungkan ke rangkaian yang sama, atau menjalankan arahan sewenang-wenangnya.

Satu ciri khas ancaman ialah cara ia berkomunikasi dengan pelayan Perintah-dan-Kawalan (C2, C&C). Daripada menggunakan pelayan C2 berkod keras, penjenayah siber LuoYu telah mencipta kumpulan 48,000 alamat IP dari wilayah Xizang dan Guizhou China. Ancaman akan bersambung ke alamat IP ChinaNET (AS4134) rawak dari kalangan kumpulan itu. Penyelidik keselamatan siber di Kaspersky yang mengeluarkan butiran tentang LuoYu dan WinDealer percaya bahawa penggodam mampu menggunakan teknik sedemikian kerana mempunyai akses kepada penghala berkompromi di dalam AS4134 atau dengan menggunakan alat penguatkuasaan undang-undang peringkat ISP. Kemungkinan lain ialah pelaku ancaman mempunyai kaedah dalaman yang masih belum diketahui oleh masyarakat umum.