WinDealer

En mindre kjent kinesisk-talende nettkriminell gruppe utfører angrepsoperasjoner som distribuerer en informasjonsstjelende skadelig programvare på enhetene som brytes. Hackerne fra LuoYu-gruppen fanger opp oppdateringene for legitime apper og bytter dem med ondsinnet nyttelast i det som er kjent som mann-på-siden-angrep. For at infeksjonen skal lykkes, overvåker trusselaktørene aktivt nettverkstrafikken til sine utvalgte ofre. Når en forespørsel om en appoppdatering relatert til populære programvareprodukter i det asiatiske markedet som QQ, Wanga Wang eller WeChat observeres, erstatter LuoYu-hackerne dem med installatørene for WInDealer-skadevare.

Etter å ha blitt henrettet på offerets Windows-system, vil WinDealer tillate angriperne å utføre et bredt spekter av påtrengende og ondsinnede handlinger. En av de primære funksjonene til trusselen er knyttet til innsamling og påfølgende eksfiltrering av konfidensielle og sensitive data. Imidlertid kan hackerne også stole på at WinDealer installerer mer spesialiserte bakdørstrusler for å garantere deres utholdenhet på enheten. WinDealer kan manipulere filsystemet, skanne etter flere enheter koblet til samme nettverk, eller kjøre vilkårlige kommandoer.

Et særegent kjennetegn ved trusselen er måten den kommuniserer med Command-and-Control-serveren (C2, C&C). I stedet for å bruke en hardkodet C2-server, har LuoYu-nettkriminelle opprettet en pool med 48 000 IP-adresser fra de kinesiske provinsene Xizang og Guizhou. Trusselen vil kobles til en tilfeldig ChinaNET (AS4134) IP-adresse fra den gruppen. Nettsikkerhetsforskerne ved Kaspersky som ga ut detaljene om LuoYu og WinDealer, mener at hackerne er i stand til å bruke en slik teknikk takket være å ha tilgang til kompromitterende rutere inne i AS4134 eller ved å bruke rettshåndhevelsesverktøy på ISP-nivå. En annen mulighet er at trusselaktørene har interne metoder som fortsatt er ukjente for allmennheten.

Trender

Mest sett

Laster inn...