Licenças para vários dispositivos (descontos por volume)
Threat Database Advanced Persistent Threat (APT) WinDealer

WinDealer

Por Mezo em Advanced Persistent Threat (APT), Stealers
Traduzir Para:
Português

Um grupo de cibercriminosos de língua chinesa menos conhecido está realizando operações de ataque que implantam um malware que rouba informações nos dispositivos violados. Os hackers do grupo LuoYu interceptam as atualizações de aplicativos legítimos e os trocam com cargas maliciosas no que é conhecido como ataques man-on-the-side. Para que a infecção seja bem-sucedida, os agentes de ameaças monitoram ativamente o tráfego de rede de suas vítimas escolhidas. Quando uma solicitação de atualização de aplicativo relacionada a produtos de software populares no mercado asiático, como QQ, Wanga Wang ou WeChat, é observada, os hackers LuoYu os substituem pelos instaladores do malware WInDealer.

Ao ser executado no sistema Windows da vítima, o WinDealer permitirá que os invasores executem uma ampla gama de ações intrusivas e maliciosas. Uma das principais funcionalidades da ameaça está relacionada à coleta e subsequente exfiltração de dados confidenciais e confidenciais. No entanto, os hackers também podem contar com o WinDealer para instalar ameaças de backdoor mais especializadas, a fim de garantir sua persistência no dispositivo. O WinDealer pode manipular o sistema de arquivos, procurar dispositivos adicionais conectados à mesma rede ou executar comandos arbitrários.

Uma característica peculiar da ameaça é a forma como ela se comunica com seu servidor de Comando e Controle (C2, C&C). Em vez de usar um servidor C2 codificado, os cibercriminosos LuoYu criaram um pool de 48.000 endereços IP das províncias chinesas de Xizang e Guizhou. A ameaça se conectará a um endereço IP aleatório do ChinaNET (AS4134) desse pool. Os pesquisadores de segurança cibernética da Kaspersky, que divulgaram os detalhes sobre LuoYu e WinDealer, acreditam que os hackers são capazes de usar essa técnica graças ao acesso a roteadores comprometidos dentro do AS4134 ou ao utilizar ferramentas de aplicação da lei no nível do ISP. Outra possibilidade é que os agentes de ameaças tenham métodos internos que ainda são desconhecidos do público em geral.

Tendendo

Mais visto

Carregando...