WinDealer

Menej známa čínsky hovoriaca skupina kyberzločincov vykonáva útočné operácie, ktoré nasadzujú na napadnuté zariadenia malvér, ktorý kradne informácie. Hackeri zo skupiny LuoYu zachytávajú aktualizácie legitímnych aplikácií a prepínajú ich so škodlivými nákladmi v rámci takzvaných útokov typu man-on-the-side. Aby bola infekcia úspešná, aktéri hrozby aktívne monitorujú sieťovú prevádzku svojich vybraných obetí. Keď sa spozoruje žiadosť o aktualizáciu aplikácie týkajúcu sa populárnych softvérových produktov na ázijskom trhu, ako sú QQ, Wanga Wang alebo WeChat, hackeri LuoYu ich nahradia inštalátormi malvéru WInDealer.

Po spustení v systéme Windows obete umožní WinDealer útočníkom vykonávať širokú škálu rušivých a škodlivých akcií. Jedna z primárnych funkcií hrozby súvisí so zberom a následnou exfiltráciou dôverných a citlivých údajov. Hackeri sa však môžu spoľahnúť aj na to, že WinDealer nainštaluje špecializovanejšie backdoor hrozby, aby zaručili ich pretrvávanie na zariadení. WinDealer môže manipulovať so systémom súborov, vyhľadávať ďalšie zariadenia pripojené k rovnakej sieti alebo spúšťať ľubovoľné príkazy.

Jednou z charakteristických vlastností hrozby je spôsob, akým komunikuje so svojím serverom Command-and-Control (C2, C&C). Namiesto použitia napevno kódovaného servera C2 vytvorili počítačoví zločinci LuoYu fond 48 000 IP adries z čínskych provincií Xizang a Guizhou. Hrozba sa pripojí k náhodnej IP adrese ChinaNET (AS4134) z tohto fondu. Výskumníci v oblasti kybernetickej bezpečnosti v spoločnosti Kaspersky, ktorí zverejnili podrobnosti o LuoYu a WinDealer, sa domnievajú, že hackeri sú schopní použiť takúto techniku vďaka prístupu ku kompromitujúcim smerovačom v AS4134 alebo pomocou nástrojov na presadzovanie práva na úrovni ISP. Ďalšou možnosťou je, že aktéri hrozby majú interné metódy, ktoré sú širokej verejnosti stále neznáme.