Licenties voor meerdere apparaten (volumekortingen)
Threat Database Advanced Persistent Threat (APT) WinDealer

WinDealer

Tegen Mezo in Advanced Persistent Threat (APT), Stealers
Vertalen naar:
Nederlands

Een minder bekende Chinees sprekende cybercriminele groep voert aanvalsoperaties uit waarbij informatie-stelende malware op de gehackte apparaten wordt ingezet. De hackers van de LuoYu-groep onderscheppen de updates voor legitieme apps en verwisselen ze met kwaadaardige payloads in zogenaamde man-on-the-side-aanvallen. Om de infectie succesvol te laten zijn, monitoren de dreigingsactoren actief het netwerkverkeer van hun gekozen slachtoffers. Wanneer een verzoek om een app-update met betrekking tot populaire softwareproducten op de Aziatische markt zoals QQ, Wanga Wang of WeChat wordt waargenomen, vervangen de LuoYu-hackers deze door de installatieprogramma's voor de WInDealer-malware.

Nadat het wordt uitgevoerd op het Windows-systeem van het slachtoffer, stelt WinDealer de aanvallers in staat een breed scala aan opdringerige en kwaadaardige acties uit te voeren. Een van de belangrijkste functionaliteiten van de dreiging houdt verband met het verzamelen en vervolgens onderscheppen van vertrouwelijke en gevoelige gegevens. De hackers kunnen echter ook vertrouwen op WinDealer om meer gespecialiseerde backdoor-bedreigingen te installeren om hun persistentie op het apparaat te garanderen. WinDealer kan het bestandssysteem manipuleren, scannen naar extra apparaten die op hetzelfde netwerk zijn aangesloten, of willekeurige opdrachten uitvoeren.

Een bijzonder kenmerk van de dreiging is de manier waarop deze communiceert met zijn Command-and-Control (C2, C&C)-server. In plaats van een hard-coded C2-server te gebruiken, hebben de LuoYu-cybercriminelen een pool van 48.000 IP-adressen gecreëerd uit de Chinese provincies Xizang en Guizhou. De dreiging maakt verbinding met een willekeurig ChinaNET (AS4134) IP-adres uit die pool. De cybersecurity-onderzoekers van Kaspersky die de details over LuoYu en WinDealer hebben vrijgegeven, zijn van mening dat de hackers in staat zijn om een dergelijke techniek te gebruiken dankzij toegang tot gecompromitteerde routers binnen AS4134 of door gebruik te maken van wetshandhavingstools op ISP-niveau. Een andere mogelijkheid is dat de dreigingsactoren interne methoden hebben die bij het grote publiek nog onbekend zijn.

Trending

Meest bekeken

Bezig met laden...