WinDealer

Daha az bilinen, Çince konuşan bir siber suçlu grubu, ihlal edilen cihazlara bilgi çalan bir kötü amaçlı yazılım dağıtan saldırı operasyonları yürütüyor. LuoYu grubundan bilgisayar korsanları, meşru uygulamalar için güncellemeleri durdurur ve bunları, adam-on-the-side saldırıları olarak bilinen kötü niyetli yüklerle değiştirir. Enfeksiyonun başarılı olması için tehdit aktörleri, seçtikleri kurbanların ağ trafiğini aktif olarak izler. Asya pazarındaki QQ, Wanga Wang veya WeChat gibi popüler yazılım ürünleriyle ilgili bir uygulama güncellemesi talebi gözlendiğinde, LuoYu bilgisayar korsanları bunları WInDealer kötü amaçlı yazılımının yükleyicileriyle değiştirir.

WinDealer, kurbanın Windows sisteminde yürütüldükten sonra, saldırganların çok çeşitli müdahaleci ve kötü niyetli eylemler gerçekleştirmesine izin verecektir. Tehdidin birincil işlevlerinden biri, gizli ve hassas verilerin toplanması ve ardından sızması ile ilgilidir. Ancak bilgisayar korsanları, cihazda kalıcılıklarını garanti etmek için daha özel arka kapı tehditleri yüklemek için WinDealer'a da güvenebilirler. WinDealer dosya sistemini değiştirebilir, aynı ağa bağlı ek cihazları tarayabilir veya rastgele komutlar çalıştırabilir.

Tehdidin özel bir özelliği, Komuta ve Kontrol (C2, C&C) sunucusuyla iletişim kurma şeklidir. LuoYu siber suçluları, sabit kodlanmış bir C2 sunucusu kullanmak yerine, Xizang ve Guizhou Çin eyaletlerinden 48.000 IP adresinden oluşan bir havuz oluşturdu. Tehdit, bu havuzdan rastgele bir ChinaNET (AS4134) IP adresine bağlanacaktır. LuoYu ve WinDealer ile ilgili ayrıntıları yayınlayan Kaspersky'deki siber güvenlik araştırmacıları, bilgisayar korsanlarının AS4134 içindeki uzlaşıcı yönlendiricilere erişime sahip olmaları veya ISP düzeyindeki yasa uygulama araçlarını kullanmaları sayesinde böyle bir tekniği kullanabileceklerine inanıyor. Diğer bir olasılık da, tehdit aktörlerinin kamuoyu tarafından henüz bilinmeyen dahili yöntemlere sahip olmalarıdır.

trend

En çok görüntülenen

Yükleniyor...