Κακόβουλο λογισμικό WinDealer

trojan horse malware

Αρκετές νέες οικογένειες κακόβουλου λογισμικού έχουν εντοπιστεί από ερευνητές ασφαλείας. Ένας από αυτούς ονομάζεται WinDealer και σχετίζεται με έναν ηθοποιό απειλών που ονομάζεται LuoYu. Η LuoYu υπάρχει εδώ και πάνω από μια δεκαετία, εκτελώντας επιθέσεις που στοχεύουν κυρίως οντότητες που βρίσκονται στην Κίνα, όπως ξένα διπλωματικά σώματα και εταιρείες που εργάζονται με ευαίσθητες πληροφορίες στον τομέα της άμυνας και των τηλεπικοινωνιών.

Ενώ ο LuoYu χρησιμοποιούσε προηγουμένως επιθέσεις που χρησιμοποιούσαν παραβιασμένους ιστότοπους, αργότερα χρησιμοποιήθηκαν ως τρύπες. Το 2020, ο παράγοντας απειλών προχώρησε σε νέες μεθόδους διανομής για το κακόβουλο λογισμικό WinDealer. Ο παράγοντας απειλών άρχισε να καταχράται τις διαδικασίες ενημέρωσης νόμιμων εφαρμογών.

Οι ερευνητές συνάντησαν ένα εκτελέσιμο αρχείο που υπογράφηκε ψηφιακά και μεταγλωττίστηκε πριν από μια δεκαετία, το οποίο χρησιμοποιήθηκε για την ανάπτυξη του WinDealer. Το μέρος που προκαλεί σύγχυση είναι ότι το πρόγραμμα ενημέρωσης λογισμικού χρησιμοποιεί μια ενσωματωμένη διεύθυνση URL που χρησιμοποιεί για να συλλάβει ενημερώσεις κώδικα. Το αρχείο που βρίσκεται στη διεύθυνση δεν ήταν κακόβουλο, αλλά σε ορισμένες σπάνιες περιπτώσεις, η ενημέρωση θα κατέβαζε μια παρουσία του WinDealer αντί για τη νόμιμη ενημέρωση.

Το WinDealer έχει ένα ευρύ φάσμα δυνατοτήτων και είναι ένα αρθρωτό εργαλείο, που επιτρέπει στους χειριστές να εκτελούν λειτουργίες ανάγνωσης και εγγραφής σε αρχεία, να αποκόπτουν πληροφορίες συστήματος, να μεταφέρουν αρχεία με δύο τρόπους, να εκτελούν απομακρυσμένες εντολές και να καταγράφουν στιγμιότυπα οθόνης.

Η υποδομή του κακόβουλου λογισμικού είναι αυτό που φαίνεται να αψηφά την πεποίθηση. Η ανάλυση έδειξε ότι το WinDealer διανέμεται χρησιμοποιώντας απλά αιτήματα HTTP που θα επέστρεφαν κανονικά, νόμιμα εκτελέσιμα τις περισσότερες φορές. Επιπλέον, το εύρος των IP και των τομέων με τους οποίους μπορεί να επικοινωνεί το κακόβουλο λογισμικό φαίνεται υπερβολικό, ακόμη και για μεγαλύτερο

παράγοντας απειλής, που έκανε τους ερευνητές να πιστέψουν ότι υπάρχει πιθανός ένας άνθρωπος στο πλευρό των επιθέσεων που χρησιμοποιούν το κακόβουλο λογισμικό.

June 3, 2022
Φόρτωση...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.