WinDealer

En mindre känd kinesisktalande cyberkriminell grupp utför attackoperationer som distribuerar en informationsstjäl skadlig programvara på de intrångade enheterna. Hackarna från LuoYu-gruppen fångar upp uppdateringarna för legitima appar och byter dem med skadliga nyttolaster i vad som kallas man-on-the-side-attacker. För att infektionen ska bli framgångsrik övervakar hotaktörerna aktivt nätverkstrafiken för sina utvalda offer. När en begäran om en appuppdatering relaterad till populära mjukvaruprodukter på den asiatiska marknaden som QQ, Wanga Wang eller WeChat observeras, ersätter LuoYu-hackarna dem med installatörerna för skadlig programvara WInDealer.

När WinDealer körs på offrets Windows-system kommer angriparna att kunna utföra ett brett utbud av påträngande och skadliga åtgärder. En av hotets primära funktioner är relaterad till insamling och efterföljande exfiltrering av konfidentiella och känsliga uppgifter. Men hackarna kan också lita på att WinDealer installerar mer specialiserade bakdörrshot för att garantera deras uthållighet på enheten. WinDealer kan manipulera filsystemet, skanna efter ytterligare enheter anslutna till samma nätverk eller köra godtyckliga kommandon.

En speciell egenskap hos hotet är hur det kommunicerar med sin Command-and-Control-server (C2, C&C). Istället för att använda en hårdkodad C2-server har LuoYu cyberkriminella skapat en pool med 48 000 IP-adresser från de kinesiska provinserna Xizang och Guizhou. Hotet kommer att ansluta till en slumpmässig ChinaNET (AS4134) IP-adress från den poolen. Cybersäkerhetsforskarna på Kaspersky som släppte detaljerna om LuoYu och WinDealer tror att hackarna är kapabla att använda en sådan teknik tack vare att de har tillgång till kompromissroutrar inuti AS4134 eller genom att använda brottsbekämpande verktyg på ISP-nivå. En annan möjlighet är att hotaktörerna har interna metoder som fortfarande är okända för allmänheten.