WinDealer
అంతగా తెలియని చైనీస్-మాట్లాడే సైబర్ క్రిమినల్ గ్రూప్ దాడి కార్యకలాపాలను నిర్వహిస్తోంది, అది ఉల్లంఘించిన పరికరాలపై సమాచారాన్ని దొంగిలించే మాల్వేర్ను అమలు చేస్తుంది. LuoYu గ్రూప్లోని హ్యాకర్లు చట్టబద్ధమైన యాప్ల కోసం అప్డేట్లను అడ్డగించి, వాటిని మ్యాన్-ఆన్-ది-సైడ్ అటాక్స్ అని పిలిచే హానికరమైన పేలోడ్లతో మారుస్తారు. సంక్రమణ విజయవంతం కావడానికి, ముప్పు నటులు వారు ఎంచుకున్న బాధితుల నెట్వర్క్ ట్రాఫిక్ను చురుకుగా పర్యవేక్షిస్తారు. QQ, Wanga Wang లేదా WeChat వంటి ఆసియా మార్కెట్లోని ప్రముఖ సాఫ్ట్వేర్ ఉత్పత్తులకు సంబంధించిన యాప్ అప్డేట్ కోసం అభ్యర్థనను గమనించినప్పుడు, LuoYu హ్యాకర్లు వాటిని WInDealer మాల్వేర్ ఇన్స్టాలర్లతో భర్తీ చేస్తారు.
బాధితుని Windows సిస్టమ్లో అమలు చేయబడిన తర్వాత, WinDealer దాడి చేసేవారిని అనేక రకాల అనుచిత మరియు హానికరమైన చర్యలను చేయడానికి అనుమతిస్తుంది. ముప్పు యొక్క ప్రాథమిక కార్యాచరణలలో ఒకటి గోప్యమైన మరియు సున్నితమైన డేటా యొక్క కోత మరియు తదుపరి వెలికితీతకు సంబంధించినది. అయినప్పటికీ, హ్యాకర్లు పరికరంలో తమ పట్టుదలకు హామీ ఇవ్వడానికి మరింత ప్రత్యేకమైన బ్యాక్డోర్ బెదిరింపులను ఇన్స్టాల్ చేయడానికి WinDealerపై ఆధారపడవచ్చు. WinDealer ఫైల్ సిస్టమ్ను మార్చగలదు, అదే నెట్వర్క్కు కనెక్ట్ చేయబడిన అదనపు పరికరాల కోసం స్కాన్ చేయవచ్చు లేదా ఏకపక్ష ఆదేశాలను అమలు చేయగలదు.
ముప్పు యొక్క ఒక విచిత్రమైన లక్షణం దాని కమాండ్-అండ్-కంట్రోల్ (C2, C&C) సర్వర్తో కమ్యూనికేట్ చేసే విధానం. హార్డ్-కోడెడ్ C2 సర్వర్ని ఉపయోగించకుండా, LuoYu సైబర్ నేరగాళ్లు Xizang మరియు Guizhou చైనీస్ ప్రావిన్సుల నుండి 48,000 IP చిరునామాలను సృష్టించారు. ముప్పు ఆ పూల్ నుండి యాదృచ్ఛిక ChinaNET (AS4134) IP చిరునామాకు కనెక్ట్ చేయబడుతుంది. LuoYu మరియు WinDealer గురించిన వివరాలను విడుదల చేసిన Kasperskyలోని సైబర్సెక్యూరిటీ పరిశోధకులు, AS4134 లోపల రాజీ రౌటర్లను యాక్సెస్ చేయడం లేదా ISP-స్థాయి చట్ట అమలు సాధనాలను ఉపయోగించడం ద్వారా హ్యాకర్లు ఇటువంటి సాంకేతికతను ఉపయోగించగలరని నమ్ముతున్నారు. మరొక అవకాశం ఏమిటంటే, బెదిరింపు నటులు ఇప్పటికీ సాధారణ ప్రజలకు తెలియని అంతర్గత పద్ధతులను కలిగి ఉంటారు.