WinDealer Malware

Adskillige nye malware-familier er blevet identificeret af sikkerhedsforskere. En af dem hedder WinDealer og er forbundet med en trusselsaktør ved navn LuoYu. LuoYu har eksisteret i over et årti og udført angreb primært rettet mod enheder beliggende i Kina såsom udenlandske diplomatiske organer og virksomheder, der arbejder med følsom information i forsvars- og telekommunikationssektoren.

Mens LuoYu tidligere brugte angreb, der brugte kompromitterede websteder, senere brugt som vandhuller. I 2020 gik trusselsaktøren videre til nye distributionsmetoder for WinDealer-malwaren. Trusselsaktøren begyndte at misbruge opdateringsprocesserne for legitime applikationer.

Forskere løb ind i en eksekverbar, der blev digitalt signeret og kompileret for ti år siden, som blev brugt til at implementere WinDealer. Den forvirrende del er, at softwareopdateringen bruger en hårdkodet URL, som den bruger til at få fat i patches. Filen placeret på adressen var ikke ondsindet, men i nogle sjældne tilfælde ville opdateringen downloade en forekomst af WinDealer i stedet for den legitime opdatering.

WinDealer har en bred vifte af muligheder og er et modulært værktøj, der giver operatører mulighed for at udføre læse- og skriveoperationer til filer, skrabe systemoplysninger, overføre filer begge veje, udføre fjernkommandoer og tage skærmbilleder.

Malwarens infrastruktur er, hvad der synes at trodse troen. Analyse viste, at WinDealer distribueres ved hjælp af almindelige HTTP-anmodninger, der ville returnere normale, legitime eksekverbare filer det meste af tiden. Derudover virker rækken af IP'er og domæner, som malwaren kan kommunikere med, ublu, selv for en større

trusselsaktør, hvilket fik forskere til at tro, at der sandsynligvis er en mand på sidekomponenten til angrebene ved hjælp af malware.