WinDealer-Malware
Mehrere neue Malware-Familien wurden von Sicherheitsforschern identifiziert. Einer von ihnen heißt WinDealer und ist mit einem Bedrohungsakteur namens LuoYu verbunden. LuoYu gibt es seit über einem Jahrzehnt und führt Angriffe hauptsächlich auf in China ansässige Unternehmen wie ausländische diplomatische Einrichtungen und Unternehmen aus, die mit sensiblen Informationen im Verteidigungs- und Telekommunikationssektor arbeiten.
Während LuoYu zuvor Angriffe verwendete, die kompromittierte Websites verwendeten, die später als Wasserlöcher verwendet wurden. Im Jahr 2020 wechselte der Bedrohungsakteur zu neuen Verbreitungsmethoden für die WinDealer-Malware. Der Angreifer begann, die Aktualisierungsprozesse legitimer Anwendungen zu missbrauchen.
Forscher stießen auf eine ausführbare Datei, die vor einem Jahrzehnt digital signiert und kompiliert wurde und zur Bereitstellung von WinDealer verwendet wurde. Der verwirrende Teil ist, dass der Software-Updater eine fest codierte URL verwendet, die er zum Abrufen von Patches verwendet. Die Datei, die sich unter der Adresse befindet, war nicht bösartig, aber in einigen seltenen Fällen lud das Update eine Instanz von WinDealer anstelle des legitimen Updates herunter.
WinDealer verfügt über eine breite Palette von Funktionen und ist ein modulares Tool, mit dem Bediener Lese- und Schreibvorgänge in Dateien ausführen, Systeminformationen auslesen, Dateien in beide Richtungen übertragen, Remote-Befehle ausführen und Screenshots erstellen können.
Die Infrastruktur der Malware scheint sich dem Glauben zu widersetzen. Die Analyse hat gezeigt, dass WinDealer über einfache HTTP-Anforderungen verteilt wird, die meistens normale, legitime ausführbare Dateien zurückgeben. Darüber hinaus scheint die Anzahl der IPs und Domänen, mit denen die Malware kommunizieren kann, exorbitant, selbst für eine größere
Bedrohungsakteur, was die Forscher zu der Annahme veranlasste, dass bei den Angriffen mit der Malware wahrscheinlich ein Mann an der Seite ist.
