WinDealer

Một nhóm tội phạm mạng nói tiếng Trung Quốc ít được biết đến đang thực hiện các hoạt động tấn công triển khai phần mềm độc hại đánh cắp thông tin trên các thiết bị bị xâm phạm. Các tin tặc từ nhóm LuoYu chặn các bản cập nhật cho các ứng dụng hợp pháp và chuyển chúng bằng các tải trọng độc hại trong cái được gọi là các cuộc tấn công từ phía người dùng. Để quá trình lây nhiễm thành công, các tác nhân đe dọa tích cực theo dõi lưu lượng mạng của các nạn nhân mà chúng đã chọn. Khi nhận được yêu cầu cập nhật ứng dụng liên quan đến các sản phẩm phần mềm phổ biến ở thị trường châu Á như QQ, Wanga Wang hoặc WeChat, tin tặc LuoYu sẽ thay thế chúng bằng trình cài đặt cho phần mềm độc hại WInDealer.

Khi được thực thi trên hệ thống Windows của nạn nhân, WinDealer sẽ cho phép những kẻ tấn công thực hiện một loạt các hành động xâm nhập và độc hại. Một trong những chức năng chính của mối đe dọa là liên quan đến việc thu thập và thẩm thấu dữ liệu bí mật và nhạy cảm sau đó. Tuy nhiên, tin tặc cũng có thể dựa vào WinDealer để cài đặt các mối đe dọa cửa hậu chuyên dụng hơn nhằm đảm bảo sự tồn tại của chúng trên thiết bị. WinDealer có thể thao tác hệ thống tệp, quét các thiết bị bổ sung được kết nối với cùng một mạng hoặc chạy các lệnh tùy ý.

Một đặc điểm đặc biệt của mối đe dọa là cách nó giao tiếp với máy chủ Command-and-Control (C2, C&C). Thay vì sử dụng một máy chủ C2 được mã hóa cứng, tội phạm mạng LuoYu đã tạo ra một nhóm gồm 48.000 địa chỉ IP từ các tỉnh Xizang và Quý Châu của Trung Quốc. Mối đe dọa sẽ kết nối với một địa chỉ IP ChinaNET (AS4134) ngẫu nhiên từ trong nhóm đó. Các nhà nghiên cứu an ninh mạng tại Kaspersky, người đã công bố thông tin chi tiết về LuoYu và WinDealer tin rằng các tin tặc có khả năng sử dụng kỹ thuật như vậy nhờ có quyền truy cập để xâm nhập các bộ định tuyến bên trong AS4134 hoặc bằng cách sử dụng các công cụ thực thi pháp luật cấp ISP. Một khả năng khác là các tác nhân đe dọa có các phương pháp nội bộ mà công chúng vẫn chưa được biết đến.