WinDealer

Manj znana kitajsko govoreča skupina kibernetičnih kriminalcev izvaja napade, s katerimi na vlomljene naprave namesti zlonamerno programsko opremo za krajo informacij. Hekerji iz skupine LuoYu prestrežejo posodobitve za zakonite aplikacije in jih zamenjajo z zlonamernimi koristnimi obremenitvami v tako imenovanih napadih človek na strani. Da bi bila okužba uspešna, akterji grožnje aktivno spremljajo omrežni promet svojih izbranih žrtev. Ko opazite zahtevo po posodobitvi aplikacije, povezano s priljubljenimi programskimi izdelki na azijskem trgu, kot so QQ, Wanga Wang ali WeChat, jih hekerji LuoYu nadomestijo z namestitvenimi programi za zlonamerno programsko opremo WInDealer.

Po izvedbi v žrtvinem sistemu Windows bo WinDealer napadalcem omogočil izvajanje širokega spektra vsiljivih in zlonamernih dejanj. Ena od primarnih funkcionalnosti grožnje je povezana z zbiranjem in kasnejšim izločanjem zaupnih in občutljivih podatkov. Vendar se lahko hekerji zanesejo tudi na WinDealer, da namestijo bolj specializirane grožnje iz zakulisja, da bi zagotovili njihovo obstojnost v napravi. WinDealer lahko manipulira z datotečnim sistemom, išče dodatne naprave, povezane z istim omrežjem, ali izvaja poljubne ukaze.

Ena posebna značilnost grožnje je način, kako komunicira s svojim strežnikom za upravljanje in nadzor (C2, C&C). Namesto uporabe trdo kodiranega strežnika C2 so kibernetski kriminalci LuoYu ustvarili nabor 48.000 naslovov IP iz kitajskih provinc Xizang in Guizhou. Grožnja se bo povezala z naključnim naslovom IP ChinaNET (AS4134) iz tega področja. Raziskovalci kibernetske varnosti pri Kasperskyju, ki so objavili podrobnosti o LuoYu in WinDealer, verjamejo, da so hekerji sposobni uporabiti takšno tehniko zahvaljujoč dostopu do ogroženih usmerjevalnikov znotraj AS4134 ali z uporabo orodij za kazenski pregon na ravni ponudnika internetnih storitev. Druga možnost je, da imajo akterji grožnje interne metode, ki širši javnosti še niso znane.