WinDealer

Менее известная группа киберпреступников, говорящая по-китайски, проводит атаки, в ходе которых на взломанные устройства внедряется вредоносное ПО для кражи информации. Хакеры из группы LuoYu перехватывают обновления для законных приложений и заменяют их вредоносными полезными нагрузками в так называемых атаках «человек на стороне». Чтобы заражение прошло успешно, злоумышленники активно отслеживают сетевой трафик выбранных ими жертв. Когда наблюдается запрос на обновление приложения, связанного с популярными программными продуктами на азиатском рынке, такими как QQ, Wanga Wang или WeChat, хакеры LuoYu подменяют их установщиками вредоносного ПО WInDealer.

После запуска в системе Windows жертвы WinDealer позволяет злоумышленникам выполнять широкий спектр навязчивых и вредоносных действий. Одна из основных функций угрозы связана со сбором и последующей эксфильтрацией конфиденциальных и конфиденциальных данных. Однако хакеры также могут полагаться на WinDealer для установки более специализированных бэкдоров, чтобы гарантировать их сохранение на устройстве. WinDealer может манипулировать файловой системой, сканировать дополнительные устройства, подключенные к той же сети, или запускать произвольные команды.

Одной из особенностей этой угрозы является то, как она взаимодействует со своим сервером управления и контроля (C2, C&C). Вместо использования жестко закодированного C2-сервера киберпреступники LuoYu создали пул из 48 000 IP-адресов из китайских провинций Сизан и Гуйчжоу. Угроза будет подключаться к случайному IP-адресу ChinaNET (AS4134) из этого пула. Исследователи кибербезопасности из «Лаборатории Касперского», опубликовавшие подробности о LuoYu и WinDealer, считают, что хакеры способны использовать такую технику благодаря доступу к скомпрометированным маршрутизаторам внутри AS4134 или использованию правоохранительных инструментов на уровне интернет-провайдера. Другая возможность заключается в том, что у злоумышленников есть внутренние методы, которые до сих пор неизвестны широкой публике.