Licențe pentru mai multe dispozitive (reduceri de volum)
Threat Database Advanced Persistent Threat (APT) WinDealer

WinDealer

Până în Mezo în Advanced Persistent Threat (APT), Stealers
Tradu in:
Română

Un grup de criminali cibernetici mai puțin cunoscut vorbitor de chineză desfășoară operațiuni de atac care implementează un malware de furt de informații pe dispozitivele violate. Hackerii din grupul LuoYu interceptează actualizările pentru aplicațiile legitime și le schimbă cu încărcături utile rău intenționate în ceea ce este cunoscut sub numele de atacuri man-on-the-side. Pentru ca infecția să aibă succes, actorii amenințărilor monitorizează activ traficul de rețea al victimelor alese. Când se observă o solicitare pentru o actualizare a aplicației referitoare la produse software populare de pe piața asiatică, cum ar fi QQ, Wanga Wang sau WeChat, hackerii LuoYu le înlocuiesc cu instalatorii pentru malware WInDealer.

După ce este executat pe sistemul Windows al victimei, WinDealer va permite atacatorilor să efectueze o gamă largă de acțiuni intruzive și rău intenționate. Una dintre funcționalitățile principale ale amenințării este legată de recoltarea și exfiltrarea ulterioară a datelor confidențiale și sensibile. Totuși, hackerii se pot baza și pe WinDealer pentru a instala amenințări de tip backdoor mai specializate pentru a garanta persistența acestora pe dispozitiv. WinDealer poate manipula sistemul de fișiere, poate scana dispozitive suplimentare conectate la aceeași rețea sau poate rula comenzi arbitrare.

O caracteristică particulară a amenințării este modul în care comunică cu serverul său de comandă și control (C2, C&C). În loc să folosească un server C2 codificat, infractorii cibernetici LuoYu au creat un grup de 48.000 de adrese IP din provinciile chineze Xizang și Guizhou. Amenințarea se va conecta la o adresă IP aleatorie ChinaNET (AS4134) din acel pool. Cercetătorii de securitate cibernetică de la Kaspersky care au lansat detaliile despre LuoYu și WinDealer cred că hackerii sunt capabili să folosească o astfel de tehnică datorită accesului la routere de compromis din interiorul AS4134 sau utilizând instrumente de aplicare a legii la nivel de ISP. O altă posibilitate este ca actorii amenințărilor să aibă metode interne care sunt încă necunoscute publicului larg.

Trending

Cele mai văzute

Se încarcă...