WinDealer

กลุ่มอาชญากรไซเบอร์ที่พูดภาษาจีนซึ่งรู้จักกันน้อยกำลังดำเนินการโจมตีที่ปรับใช้มัลแวร์ขโมยข้อมูลบนอุปกรณ์ที่ถูกละเมิด แฮกเกอร์จากกลุ่ม LuoYu สกัดกั้นการอัปเดตสำหรับแอพที่ถูกต้องและสลับกับเพย์โหลดที่เป็นอันตรายในสิ่งที่เรียกว่าการโจมตีแบบ man-on-the-side เพื่อให้การติดเชื้อประสบความสำเร็จ ผู้คุกคามจะคอยตรวจสอบการรับส่งข้อมูลเครือข่ายของเหยื่อที่เลือกไว้อย่างแข็งขัน เมื่อมีการร้องขอให้อัปเดตแอปที่เกี่ยวข้องกับผลิตภัณฑ์ซอฟต์แวร์ยอดนิยมในตลาดเอเชีย เช่น QQ, Wanga Wang หรือ WeChat แฮกเกอร์ LuoYu จะแทนที่พวกเขาด้วยโปรแกรมติดตั้งสำหรับมัลแวร์ WInDealer

เมื่อถูกดำเนินการบนระบบ Windows ของเหยื่อ WinDealer จะอนุญาตให้ผู้โจมตีทำการกระทำที่ล่วงล้ำและเป็นอันตรายได้หลากหลาย หนึ่งในฟังก์ชันหลักของภัยคุกคามที่เกี่ยวข้องกับการเก็บเกี่ยวและการกรองข้อมูลที่เป็นความลับและละเอียดอ่อนในภายหลัง อย่างไรก็ตาม แฮกเกอร์ยังสามารถพึ่งพา WinDealer ในการติดตั้งภัยคุกคามลับๆ ที่เชี่ยวชาญมากขึ้น เพื่อรับประกันว่าพวกเขาจะคงอยู่ในอุปกรณ์ WinDealer สามารถจัดการระบบไฟล์ สแกนหาอุปกรณ์เพิ่มเติมที่เชื่อมต่อกับเครือข่ายเดียวกัน หรือเรียกใช้คำสั่งตามอำเภอใจ

ลักษณะเฉพาะอย่างหนึ่งของภัยคุกคามคือวิธีที่มันสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2, C&C) แทนที่จะใช้เซิร์ฟเวอร์ C2 แบบฮาร์ดโค้ด อาชญากรไซเบอร์ของ LuoYu ได้สร้างกลุ่มที่อยู่ IP 48,000 จากจังหวัด Xizang และมณฑลกุ้ยโจวของจีน ภัยคุกคามจะเชื่อมต่อกับที่อยู่ IP แบบสุ่มของ ChinaNET (AS4134) จากกลุ่มนั้น นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ Kaspersky ผู้เปิดเผยรายละเอียดเกี่ยวกับ LuoYu และ WinDealer เชื่อว่าแฮกเกอร์สามารถใช้เทคนิคดังกล่าวได้ ต้องขอบคุณการเข้าถึงเราเตอร์ที่ประนีประนอมภายใน AS4134 หรือใช้เครื่องมือบังคับใช้กฎหมายระดับ ISP ความเป็นไปได้อีกประการหนึ่งคือผู้คุกคามมีวิธีการภายในที่ยังไม่เป็นที่รู้จักของสาธารณชนทั่วไป