WinDealer
कम ज्ञात चिनियाँ-भाषी साइबर अपराधी समूहले आक्रमण अपरेसनहरू सञ्चालन गरिरहेको छ जसले उल्लंघन गरिएका उपकरणहरूमा जानकारी चोर्ने मालवेयर तैनात गर्दछ। LuoYu समूहका ह्याकरहरूले वैध एपहरूका अपडेटहरू रोक्छन् र तिनीहरूलाई म्यान-अन-द-साइड आक्रमणहरू भनेर चिनिने मालिसियस पेलोडहरूद्वारा स्विच गर्छन्। संक्रमण सफल हुनको लागि, धम्की अभिनेताहरूले सक्रिय रूपमा आफ्ना चुनिएका पीडितहरूको नेटवर्क ट्राफिकको निगरानी गर्छन्। जब एशियाली बजारमा QQ, Wanga Wang, वा WeChat जस्ता लोकप्रिय सफ्टवेयर उत्पादनहरूसँग सम्बन्धित एप अपडेटको लागि अनुरोध अवलोकन गरिन्छ, LuoYu ह्याकरहरूले तिनीहरूलाई WInDealer मालवेयरका लागि स्थापनाकर्ताहरूसँग प्रतिस्थापन गर्छन्।
पीडितको विन्डोज प्रणालीमा कार्यान्वयन गरिसकेपछि, WinDealer ले आक्रमणकारीहरूलाई हस्तक्षेपकारी र दुर्भावनापूर्ण कार्यहरूको विस्तृत श्रृंखला प्रदर्शन गर्न अनुमति दिनेछ। खतराको प्राथमिक कार्यक्षमता मध्ये एक गोप्य र संवेदनशील डाटाको कटाई र त्यसपछिको निष्कासनसँग सम्बन्धित छ। यद्यपि, ह्याकरहरूले यन्त्रमा आफ्नो दृढता सुनिश्चित गर्न थप विशेष ब्याकडोर खतराहरू स्थापना गर्न WinDealer मा भर पर्न सक्छन्। WinDealer ले फाइल प्रणाली हेरफेर गर्न सक्छ, उही नेटवर्कमा जडान भएका अतिरिक्त उपकरणहरूको लागि स्क्यान गर्न वा मनमानी आदेशहरू चलाउन सक्छ।
खतराको एउटा विशिष्ट विशेषता भनेको यसको कमाण्ड-एण्ड-कन्ट्रोल (C2, C&C) सर्भरसँग सञ्चार गर्ने तरिका हो। हार्ड-कोड गरिएको C2 सर्भर प्रयोग गर्नुको सट्टा, LuoYu साइबर अपराधीहरूले Xizang र Guizhou चिनियाँ प्रान्तहरूबाट 48,000 IP ठेगानाहरूको पूल सिर्जना गरेका छन्। खतरा त्यो पोखरीबाट अनियमित ChinaNET (AS4134) IP ठेगानामा जडान हुनेछ। LuoYu र WinDealer बारे विवरणहरू जारी गर्ने Kaspersky मा साइबरसुरक्षा अनुसन्धानकर्ताहरू विश्वास गर्छन् कि ह्याकरहरूले AS4134 भित्र सम्झौता राउटरहरूमा पहुँच भएको वा ISP-स्तर कानून प्रवर्तन उपकरणहरू प्रयोग गरेर यस्तो प्रविधि प्रयोग गर्न सक्षम छन्। अर्को सम्भाव्यता यो हो कि धम्की दिनेहरूका आन्तरिक विधिहरू छन् जुन अझै पनि आम जनतालाई थाहा छैन।
