WinDealer

Менш відома китайськомовна група кіберзлочинців проводить атакуючі операції, які розгортають зловмисне програмне забезпечення для крадіжки інформації на зламаних пристроях. Хакери з групи LuoYu перехоплюють оновлення для легальних додатків і перемикають їх на шкідливі корисні навантаження в рамках так званих атак «людина на стороні». Щоб зараження було успішним, суб’єкти загрози активно стежать за мережевим трафіком обраних ними жертв. Коли надходить запит на оновлення програми, пов’язаної з популярними програмними продуктами на азіатському ринку, такими як QQ, Wanga Wang або WeChat, хакери LuoYu замінюють їх інсталяторами зловмисного програмного забезпечення WInDealer.

Після виконання в системі Windows жертви WinDealer дозволить зловмисникам виконувати широкий спектр нав’язливих і шкідливих дій. Одна з основних функціональних можливостей загрози пов’язана зі збиранням та подальшим вилученням конфіденційних і конфіденційних даних. Однак хакери також можуть покладатися на WinDealer для встановлення більш спеціалізованих бэкдор-загроз, щоб гарантувати їх збереження на пристрої. WinDealer може маніпулювати файловою системою, шукати додаткові пристрої, підключені до тієї ж мережі, або виконувати довільні команди.

Однією з особливостей загрози є те, як вона взаємодіє зі своїм сервером командування та керування (C2, C&C). Замість використання жорстко закодованого сервера C2 кіберзлочинці LuoYu створили пул із 48 000 IP-адрес з китайських провінцій Сізан і Гуйчжоу. Загроза підключатиметься до випадкової IP-адреси ChinaNET (AS4134) із цього пулу. Дослідники з кібербезпеки з Kaspersky, які оприлюднили подробиці про LuoYu і WinDealer, вважають, що хакери можуть використовувати таку техніку завдяки доступу до компрометованих маршрутизаторів всередині AS4134 або за допомогою інструментів правоохоронних органів на рівні ISP. Інша ймовірність полягає в тому, що суб’єкти загроз мають внутрішні методи, які досі невідомі широкому загалу.